¿Dónde se registran los incidentes de sudo?

29

Cuando alguien no está en el grupo sudoers e intenta usar sudo, recibe un mensaje de error como este:

yzT is not in the sudoers file. This incident will be reported.

Estoy tratando de averiguar en qué registro se registra esta información, para verificar quién intentó ejecutar un comando con sudo, por ejemplo, pero no puedo encontrarlo.

La primera búsqueda de Google dice /var/log/syslogpero no veo ninguna información relacionada con sudo allí.

logs sudo eez0
fuente
20
Se registra de forma remota: xkcd.com/838
depquid el
1
Últimas noticias ...
nikolas

Respuestas:

41

En sistemas Linux basados ​​en redhat como centos o fedora se encuentra en:

  /var/log/secure

y para sistemas basados ​​en Debian como Ubuntu está en:

  /var/log/auth.log
Hojat Taheri
fuente
1
Pero, ¿cómo puedo saberlo por mi cuenta sin buscarlo en Google?
Turkhan Badalov
1
¡Fácil! Lee el código fuente.
LadyCailin
cat /var/log/auth.log | grep '3 intentos de contraseña incorrecta'
dedunumax
3

No importa, está adentro /var/log/auth.log.

eez0
fuente
Los avisos también deben enviarse por correo electrónico a root de forma predeterminada, aunque eso es configurable.
depquid
3

en Fedora está en /var/log/audit/audit.log

Shahram Pezeshki
fuente
1
depende del archivo / etc / sudoers, debe buscar este registro: Archivo de registro predeterminado = / var / log / file_name
Shahram Pezeshki