Qual é a ameaça de um usuário tentar sudo sem permissão?

Primeiro, sudo sozinho, não envia e-mails nem cria mensagens de aviso, além de registrar sua tentativa malsucedida no log. As pessoas que observam esses logs e correlacionam eventos (provavelmente usando um observador de logs com script), verificam que algum ID de usuário, que por acaso era seu, está tentando obter acesso root onde ele não é permitido. Como resultado, o processo automatizado aciona um email para o infrator. Mesmo que você pense que pode estar respondendo a um ser humano, 9 a cada 10 vezes, sua resposta vai para uma caixa de correio, que não é observada ou verificada muito raramente.

Se você acha que recebeu uma resposta à sua explicação de um ser humano real, que continua acusando você depois de deixar claro que isso foi um erro e que você não estava no servidor certo, ele está muito entediado e procurando algo fazer ou ter ordens estritas para assustar as pessoas.

Além das tentativas de cracking de força bruta, não há nenhum outro vetor de ameaça em estado selvagem no momento, atacando sudo de servidores protegidos, que eu conheço.

Além disso, considere fazer perguntas dessa natureza na seção Segurança da informação do Stack Exchange.

I was trying to follow some linux instructions that involved sudo

Esta é a ameaça. Um usuário que não conhece ou entende o que está entrando em seu terminal com privilégios sudo pode fazer com que coisas muito ruins aconteçam muito rapidamente. Parece que o administrador realmente não explicou para você que tentar sudo não é realmente o problema (em teoria você poderia tentar sudoar tudo até ficar de cara feia, mas se você não tem acesso ao sudo, nada disso fará nada). É o potencial que ele está preocupado. E se você tivesse privilégios de sudo e você inserisse um comando que você encontrou na internet e que fosse destrutivo?

Eu não posso falar com sua situação específica; você terá que perguntar ao seu sysadmin por que eles escolheram gritar com você.

Mas posso dizer por que sudo reporta esses incidentes: porque não há nenhuma razão legítima para que eles aconteçam. Você não tem raiz. Você deve saber que você não tem raiz (e se de alguma forma você não, você pode verificar com sudo -l ). Você não tem nenhum negócio tentando fazer algo que o administrador do sistema tenha escolhido proibir. Você encontrará frequentemente na segurança do computador que "tudo que não é permitido é proibido". Como não há razão válida para executar comandos sudo quando você não tem privilégios apropriados, ele deve ser reportado a um ser humano para revisão. Pode indicar software mal configurado, uma conta comprometida ou qualquer outro tipo de segurança ou problemas não relacionados à segurança com o sistema.

Se o sudo estiver configurado para enviar e-mail e se o arquivo de caixa de correio hipotético falhar, o e-mail sudoers (ou se o MTA estiver quebrado, a fila de mensagens) não for ou raramente for monitorado e se um usuário local mal-intencionado receber tempo suficiente, e se o uso de disco em /var não for monitorado, um usuário local mal-intencionado poderá preencher essa partição com entradas de caixa de correio ou de fila de mensagens devido a logins com falha, o que pode ser ruim. Mas isso é muito, e provavelmente haveria alvos mais atraentes em uma loja tão mal administrada.

Eu suspeito que o sistema relate cada tentativa falhada de sudo ao sysadmin, que os considera como itens de ação individuais. Gritar com você permite que o administrador de sistema os exclua da sua lista de tarefas.

O modelo de ameaça não é para o sistema, mas para o sysadmin. O administrador do sistema sente a necessidade de responder a esses incidentes para provar que não está dormindo ao volante.

Se este for o caso, a solução é obter o VirtualBox ou similar e parar de incomodar o administrador de sistemas.

A ameaça de tentativas de acesso sudo repetidamente falhadas é que um usuário mal-intencionado pode ser capaz de forçar brute a senha e, assim, escalar seus privilégios. Como o usuário em questão não tem acesso ao sudo, essa é uma ameaça pendente - uma ameaça sem vulnerabilidade a ser explorada. No entanto, um sistema de monitoramento pode acionar um alarme para isso como parte de uma estratégia de detecção de intrusão, ou porque é um procedimento operacional padrão para os administradores.

Dito isso, este parece ser um e-mail pro forma de um administrador em resposta a um alarme acionado, e o estilo de comunicação padrão desse administrador parece estar "desproporcionalmente irritado". Eu não me preocuparia com isso.

(Como uma nota lateral, eu iria se preocupar com sua prática de administração de sistemas de copiar / colar imprudente, especialmente quando os comandos que você está copiando / colando são comandos sudo. )