Ứng dụng của tôi yêu cầu quyền truy cập đọc /var/log/messages, thuộc về người dùng và nhóm root. Mức độ phơi sáng tối thiểu cần thiết /var/log/messagesđể ứng dụng của tôi có thể đọc được là gì?
Hiện tại, kế hoạch của tôi là thay đổi quyền sở hữu nhóm /var/log/messagesthành một nhóm mới và thêm root và người dùng ứng dụng của tôi vào đó, nhưng điều này cũng sẽ cung cấp cho các đặc quyền ghi ứng dụng /var/log/messages.
HĐH: Centos 5.5
Câu trả lời:
Không cần thêm root vào nhóm vì dù sao nó cũng sẽ có quyền truy cập thông qua quyền riêng tư của người dùng, chỉ cần cho nhóm đọc vào bất cứ nhóm nào bạn quyết định. Hãy nhớ thực hiện các thay đổi với logrotate hoặc thay đổi nhóm sẽ bị xóa hàng đêm.
Chỉ cần mở rộng một chút về các câu trả lời ở trên là trường hợp sử dụng trong thế giới thực. Tôi chạy ứng dụng phân tích nhật ký doanh nghiệp Splunk trên hộp Redhat. Nó chạy dưới người dùng splunk và nhóm splunk. Điều này ngăn chặn truy cập vào các bản ghi trong / var / log vì chúng chỉ có thể được truy cập bởi root (hoặc quản trị viên sudo)
Để cho phép truy cập chỉ đọc cho splunk, tôi đã sử dụng một số logrotate của ACL và đã sửa đổi để duy trì nó.
Bạn có thể tự đặt ACL bằng
sudo setfacl -m g:splunk:rx /var/log/messages
Điều này sẽ không tồn tại vì logrotate sẽ không áp dụng lại cài đặt ACL vì vậy để có giải pháp lâu dài hơn, tôi đã thêm một quy tắc vào logrotate để đặt lại ACL. Tôi đã thêm tập tin ..
/etc/logrotate.d/Splunk_ACLs
với
{
postrotate
/usr/bin/setfacl -m g:splunk:rx /var/log/cron
/usr/bin/setfacl -m g:splunk:rx /var/log/maillog
/usr/bin/setfacl -m g:splunk:rx /var/log/messages
/usr/bin/setfacl -m g:splunk:rx /var/log/secure
/usr/bin/setfacl -m g:splunk:rx /var/log/spooler
endscript
}
Kiểm tra trạng thái ACL của một tệp với
$ getfacl /var/log/messages
Để biết thêm thông tin về ACL, hãy xem https://help.ubfox.com/community/FilePermissionsACLs http://bencane.com/2012/05/27/acl-USE-access-control-lists-on-linux/
/etc/logrotate.d/Splunk_ACLsmà bạn đã đăng ở đó không? Bạn thực sự không cần chỉ định bất kỳ đường dẫn nào cho logrotate để xử lý bit postrotate?
Kế hoạch của bạn có thể chấp nhận được và trong sơ đồ cấp phép Unix "truyền thống" là cách tốt nhất để thực hiện.
Một tùy chọn khác là để syslog chuyển hướng các tin nhắn quan tâm đến một tệp khác (điều này tránh cho phép người dùng ứng dụng truy cập vào bất cứ điều gì nhạy cảm có thể có /var/log/messages).
Nếu bạn không cảm thấy bị ràng buộc bởi lược đồ quyền truyền thống của Người dùng / Nhóm / Khác, bạn cũng có thể sử dụng POSIX ACL (khác, có thể là howtos / thông tin tốt hơn có sẵn thông qua Google) để cấp cho người dùng ứng dụng của bạn quyền truy cập chỉ đọc /var/log/messages- đây là một chi tiết nhỏ hơn và không có nguy cơ vô tình đưa người khác vào nhóm của ứng dụng và cho họ quyền truy cập vào những thứ mà họ không thể nhìn thấy.
Yip tôi đã từng setfacllàm điều này để cấp quyền truy cập vào mail.logtệp cho khách hàng, không phải bạn cũng cần phải dán một lệnh trong logrotate.conftệp để đặt lại ACL sau khi nhật ký được xoay, ví dụ:
postrotate
/usr/bin/setfacl -m o::r /var/log/mail.log
endscript
Lưu ý Tôi chỉ mới thiết lập tính năng này và chưa thử nghiệm, nhưng mặc dù nó sẽ đăng lại ở đây, nhưng không thể hiểu tại sao nó không hoạt động, ai đó sẽ sửa cho tôi nếu tôi sai.