Meine Anwendung erfordert Lesezugriff auf /var/log/messages, der zu Benutzer und Gruppe gehört root. Welche minimale Belichtungsstufe ist erforderlich, /var/log/messagesdamit meine Anwendung sie lesen kann?
Gegenwärtig ist mein Plan, die Gruppeneigentümerschaft /var/log/messageseiner neuen Gruppe zu ändern und der Gruppe root und meinen Anwendungsbenutzer hinzuzufügen. Dies würde der Anwendung jedoch auch Schreibrechte verleihen /var/log/messages.
Betriebssystem: Centos 5.5
Antworten:
Es ist nicht erforderlich, der Gruppe root hinzuzufügen, da sie sowieso über die Benutzerrechte Zugriff haben wird. Geben Sie der Gruppe nur Leserechte, für welche Gruppe Sie sich auch entscheiden. Denken Sie daran, die Änderungen auch mit logrotate vorzunehmen, da sonst die Gruppenänderungen jede Nacht gelöscht werden.
Nur um ein wenig auf die obigen Antworten einzugehen, handelt es sich hier um einen realen Anwendungsfall. Ich führe die Enterprise Log Analysis-Anwendung Splunk auf einer Redhat-Box aus. Es wird unter dem Splunk-Benutzer und der Splunk-Gruppe ausgeführt. Dadurch wird verhindert, dass Splunk auf die Protokolle in / var / log zugreift, da nur root (oder ein sudo-Administrator) auf sie zugreifen kann.
Um nur Splunk-Lesezugriffen zu erlauben, habe ich einige ACLs und modifizierte Logrotate verwendet, um sie beizubehalten.
Sie können die ACL mit manuell einstellen
sudo setfacl -m g:splunk:rx /var/log/messages
Dies wird nicht beibehalten, da die ACL-Einstellung von logrotate nicht erneut angewendet wird. Für eine dauerhaftere Lösung habe ich eine Regel zum Zurücksetzen der ACL durch logrotate hinzugefügt. Ich habe die Datei hinzugefügt.
/etc/logrotate.d/Splunk_ACLs
mit
{
postrotate
/usr/bin/setfacl -m g:splunk:rx /var/log/cron
/usr/bin/setfacl -m g:splunk:rx /var/log/maillog
/usr/bin/setfacl -m g:splunk:rx /var/log/messages
/usr/bin/setfacl -m g:splunk:rx /var/log/secure
/usr/bin/setfacl -m g:splunk:rx /var/log/spooler
endscript
}
Überprüfen Sie den ACL-Status einer Datei mit
$ getfacl /var/log/messages
Weitere Informationen zu ACLs finden Sie unter https://help.ubuntu.com/community/FilePermissionsACLs http://bencane.com/2012/05/27/acl-using-access-control-lists-on-linux/
/etc/logrotate.d/Splunk_ACLs, den du dort gepostet hast? Sie müssen tatsächlich keine Pfade für logrotate angeben, um das Postrotate-Bit zu verarbeiten?
Ihr Plan ist akzeptabel und im "traditionellen" Unix-Berechtigungsschema der beste Weg.
Eine weitere Möglichkeit besteht darin, dass Syslog die Nachrichten von Interesse in eine andere Datei umleitet (wodurch vermieden wird, dass der App-Benutzer auf vertrauliche Daten in dieser Datei zugreifen kann /var/log/messages).
Wenn Sie sich nicht an das herkömmliche Berechtigungsschema Benutzer / Gruppe / Andere gebunden fühlen, können Sie auch POSIX-ACLs (andere, möglicherweise bessere Anleitungen / Informationen, die über Google verfügbar sind) verwenden, um Ihrem App-Benutzer schreibgeschützten Zugriff auf Folgendes zu gewähren /var/log/messages: Dies ist etwas feinkörniger und birgt nicht das Risiko, versehentlich jemanden in die Gruppe der Anwendung aufzunehmen und ihm Zugriff auf Dinge zu gewähren, die er nicht sehen sollte.
Yip Ich habe dies verwendet setfacl, mail.logum einem Kunden Zugriff auf die Datei zu gewähren. Sie müssen nicht auch einen Befehl in die logrotate.confDatei einfügen, um die ACL zurückzusetzen, nachdem die Protokolle gedreht wurden. Beispiel:
postrotate
/usr/bin/setfacl -m o::r /var/log/mail.log
endscript
Hinweis Ich habe dies gerade erst eingerichtet und noch nicht getestet, aber obwohl es hierher zurückkehren würde, kann ich nicht erkennen, warum es nicht funktionieren würde. Wenn ich falsch liege, korrigiert mich jemand.
Sie können hierfür die ACL verwenden . Hier können Sie bestimmte zusätzliche Zugriffsregeln für bestimmte Benutzer und Dateien festlegen.