В Debian и его производных sudo
отчеты об инцидентах регистрируются в /var/log/auth.log
, который содержит информацию об авторизации системы, включая логины пользователей и используемые механизмы аутентификации:
$ sudo su
[sudo] password for regularjohn:
regularjohn is not in the sudoers file. This incident will be reported.
[as root]
$ tail -n 1 /var/log/auth.log
Jun 21 16:30:26 marvin sudo: regularjohn : user NOT in sudoers ; TTY=pts/19 ; PWD=/home/regularjohn ; USER=root ; COMMAND=/bin/su
Этот файл журнала обычно доступен только пользователям из группы adm
, т. е. пользователям с доступом к задачам системного мониторинга:
$ ls -la /var/log/auth.log
-rw-r----- 1 syslog adm 76189 Jun 21 16:30 /var/log/auth.log
Из Вики Debian:
Group adm is used for system monitoring tasks. Members of this group can read many log files in /var/log, and can use xconsole. Historically, /var/log was /usr/adm (and later /var/adm), thus the name of the group.
Пользователи в группе adm
обычно являются администраторами , и это групповое разрешение предназначено для того, чтобы позволить им читать файлы журнала без необходимости su
.
По умолчанию sudo
использует средство Syslog auth
для ведения журнала . Поведение журнала sudo
можно изменить с помощью параметров logfile
или syslog
в /etc/sudoers
или /etc/sudoers.d
:
.
logfile
задает путь к файлу журнала sudo
.syslog
задает средство Syslog, когдаsyslog(3)
используется для ведения журнала. Средство Syslog auth
перенаправляется на /var/log/auth.log
в etc/syslog.conf
при наличии следующего раздела конфигурации:
auth,authpriv.* /var/log/auth.log
Попробуйте:
setxkbmap -layout us,ru -option "grp:toggle,ctrl:nocaps,grp_led:scroll,compose:prsc,terminate:ctrl_alt_bksp"