/var/log/messagesBaşvurum, kullanıcıya ve gruba ait okuma erişimi gerektiriyor root. /var/log/messagesUygulamamın okuyabilmesi için gerekli minimum maruz kalma seviyesi nedir ?
Şu anda, benim planım, grubun sahipliğini /var/log/messagesyeni bir gruba değiştirmek, ona kök ve uygulama kullanıcımı eklemektir, ancak bu aynı zamanda uygulamaya yazma ayrıcalıkları da verir /var/log/messages.
İşletim Sistemi: Centos 5.5
Yanıtlar:
Zaten kullanıcı ayrıcalıkları yoluyla erişebileceği için gruba kök eklemenize gerek yok, sadece hangi gruba karar verdiğinizi okumaya başlayın. Değişiklikleri de logrotate ile yapmayı unutmayın, aksi takdirde grup değişiklikleri her gece silinir.
Sadece yukarıdaki cevapları biraz genişletmek için burada gerçek bir dünya kullanım örneği var. Splunk kurumsal log analiz uygulamasını Redhat kutusunda çalıştırıyorum. Bölünmüş kullanıcı ve bölme grubunun altında çalışır. Bu, / var / log içindeki log'lara yalnızca root (veya sudo admin) tarafından erişilebildiğinden erişimini engeller.
Sadece ayrık okumaya izin vermek için sadece bazı ACL'leri kullandım ve devam ettirmek için değiştirilmiş logrotate kullandım.
ACL'yi manuel olarak ayarlayabilirsiniz.
sudo setfacl -m g:splunk:rx /var/log/messages
Bu, logrotate'in ACL ayarını tekrar uygulamayacağından kalıcı olmayacaktır, bu yüzden daha kalıcı bir çözüm için ACL'yi sıfırlamak için logrotate için bir kural ekledim. Dosyayı ekledim ..
/etc/logrotate.d/Splunk_ACLs
ile
{
postrotate
/usr/bin/setfacl -m g:splunk:rx /var/log/cron
/usr/bin/setfacl -m g:splunk:rx /var/log/maillog
/usr/bin/setfacl -m g:splunk:rx /var/log/messages
/usr/bin/setfacl -m g:splunk:rx /var/log/secure
/usr/bin/setfacl -m g:splunk:rx /var/log/spooler
endscript
}
İle bir dosyanın ACL durumunu kontrol et
$ getfacl /var/log/messages
ACL'ler hakkında daha fazla bilgi için bkz. Https://help.ubuntu.com/community/FilePermissionsACLs http://bencane.com/2012/05/27/acl-using-access-control-lists-on-linux/
/etc/logrotate.d/Splunk_ACLsOrada yayınladığınız içeriğin tamamı bu mu? Aslında postrotate bitini işlemek için logrotate için herhangi bir yol belirtmeniz gerekmez mi?
Planın kabul edilebilir ve "geleneksel" Unix izinleri planında, gitmenin en iyi yolu bu.
Diğer bir seçenek ise, syslog'un ilgilenilen mesajları başka bir dosyaya yönlendirmesidir (bu, uygulama kullanıcısına içinde olabilecek hassas herhangi bir şeye erişmesini engeller /var/log/messages).
Kullanıcı / Grup / Diğer’in geleneksel izinler şemasına bağlı kalmak istemiyorsanız, uygulamanızın kullanıcılarına salt okunur erişimi sağlamak için POSIX ACL'leri de (Google’da bulabileceğiniz daha iyi, muhtemelen daha iyi bilgi / bilgi) kullanabilirsiniz /var/log/messages- bu biraz daha ince tanelidir ve yanlışlıkla yanlışlıkla birisini uygulamanın grubuna sokma ve görmemesi gereken şeylere erişme riski yoktur.
Yip Bunu bir müşterinin dosyasına setfaclerişmek için yaptım , günlükler döndürüldükten sonra ACL'yi yeniden ayarlamak için dosyaya mail.logbir komut eklemeniz de gerekmeyecek.logrotate.conf
postrotate
/usr/bin/setfacl -m o::r /var/log/mail.log
endscript
Not Sadece bunu yeni kurdum ve test etmedim, fakat buraya geri gönderilmesine rağmen, neden işe yaramayacağını görebiliyorsanız, yanlış olduğumda biri beni düzeltir.