当不在 sudoers 中的用户尝试将权限提升到 root 时(例如在 Ubuntu 18.04 中),操作系统会显示此警报:“用户名不在 sudoers 文件中。将报告此事件”。
现在,管理员可以在哪里看到此报告?管理员如何检测无效sudo尝试?
我对 CentOS 7 特别感兴趣。
答案1
在 CentOS 7 上(因为这显然是您真正感兴趣的),此类事件会在日志中报告;以 root身份运行journalctl -xe,你会看到类似这样的行
guest : user NOT in sudoers
当用户sudo未经允许运行时,或者
guest : 3 incorrect password attempts
当用户多次错误密码时(日志消息中的其他信息与往常一样)。