Aplikasi saya memerlukan akses baca /var/log/messages
, yang milik pengguna dan grup root
. Apa tingkat paparan minimal yang diperlukan /var/log/messages
agar aplikasi saya dapat membacanya?
Saat ini, rencana saya adalah mengubah kepemilikan grup /var/log/messages
menjadi grup baru, dan menambahkan root dan pengguna aplikasi saya ke dalamnya, tetapi ini juga akan memberikan hak istimewa menulis aplikasi /var/log/messages
.
OS: Centos 5.5
linux
centos
permissions
file-permissions
gAMBOOKa
sumber
sumber
Hanya untuk sedikit memperluas jawaban di atas di sini adalah kasus penggunaan dunia nyata. Saya menjalankan aplikasi analisis log perusahaan Splunk pada kotak Redhat. Ini berjalan di bawah pengguna splunk dan grup splunk. Ini mencegah splunk mengakses log di / var / log karena hanya dapat diakses oleh root (atau admin sudo)
Untuk memungkinkan akses hanya baca untuk splunk saja, saya telah menggunakan beberapa ACL dan modifikasi logrotate untuk bertahan.
Anda dapat secara manual mengatur ACL dengan
Ini tidak akan bertahan karena logrotate tidak akan menerapkan kembali pengaturan ACL jadi untuk solusi yang lebih permanen saya menambahkan aturan untuk logrotate untuk mengatur ulang ACL. Saya menambahkan file ..
dengan
Periksa status ACL file dengan
Untuk info lebih lanjut tentang ACL, lihat https://help.ubuntu.com/community/FilePermissionsACLs http://bencane.com/2012/05/27/acl-using-access-control-lists-on-linux/
sumber
/etc/logrotate.d/Splunk_ACLs
yang Anda posting di sana? Anda sebenarnya tidak perlu menentukan jalur untuk logrotate untuk memproses bit postrotate?Rencana Anda dapat diterima dan dalam skema izin Unix "tradisional" adalah cara terbaik untuk melangkah.
Opsi lain adalah meminta syslog mengalihkan pesan-pesan yang menarik ke file lain (yang menghindari memberikan pengguna akses aplikasi ke hal-hal sensitif yang mungkin ada
/var/log/messages
).Jika Anda merasa tidak terikat oleh skema izin tradisional Pengguna / Grup / Lainnya, Anda juga dapat menggunakan POSIX ACL (lainnya, mungkin info / info yang lebih baik tersedia melalui Google) untuk memberikan akses baca-saja bagi pengguna aplikasi Anda ke
/var/log/messages
- ini sedikit lebih halus dan tidak beresiko menempatkan orang lain dalam kelompok aplikasi dan memberi mereka akses ke hal-hal yang seharusnya tidak dapat mereka lihat.sumber
Yip Saya sudah terbiasa
setfacl
melakukan ini untuk memberikan akses kemail.log
file untuk pelanggan, tidak Anda juga perlu menempel perintah dilogrotate.conf
file untuk mengatur ulang ACL setelah log diputar misalnya::Catatan Saya baru saja mengatur ini, dan belum diuji, tetapi meskipun itu akan dikirim kembali ke sini, tidak bisa melihat mengapa itu tidak berhasil, seseorang memperbaiki saya jika saya salah.
sumber
Anda dapat menggunakan ACL untuk ini. Ini memungkinkan Anda untuk mengatur aturan akses tambahan khusus untuk pengguna dan file tertentu.
sumber
setelah Anda mengonfigurasi ACL Anda seperti kata orang lain, alih-alih meletakkan semua aturan acl Anda dalam konfigurasi postrotate, Anda dapat swith logrotate untuk menggunakan copytruncate alih-alih membuat file log baru setiap kali
sumber