logrotate security

3

Existe alguma preocupação sobre a segurança do logrotate sendo executado como root? Alguém poderia perguntar que um usuário malicioso não poderia subverter a configuração para sobrescrever alguma coisa? Está bem para executar o logrotate fora do cron de outro usuário?

    
por pzod 13.04.2012 / 20:30

3 respostas

3

Desde que o usuário possa gravar e criar arquivos no diretório com seus arquivos de log, você poderá usar outro usuário. No entanto, se sua configuração logrotate for editável apenas por root, então não vejo muito risco lá. Se alguém puder subverter que pode ganhar raiz e causar muito mais danos do que apenas bagunçar arquivos de log, as preocupações, embora com certeza existam, não justificam a personalização de um aplicativo padrão como o logrotate.

    
por 13.04.2012 / 20:43
2

Se a configuração do logrotate for gravável apenas pelo root, você não deverá ter nenhum problema com pessoas que a alterem para sobrescrever arquivos aleatórios. Se você quisesse executá-lo como outro usuário, teria que garantir que o usuário tivesse acesso para alterar todos os arquivos de log que você deseja girar, o que aumentaria a complexidade com muito pouco retorno.

    
por 13.04.2012 / 20:41
2

Normalmente, qualquer usuário deve ser capaz de rodar o logrotate, mas você precisa sobrescrever tanto o arquivo de estado padrão quanto a configuração padrão. Isso é bastante fácil de fazer olhando as páginas do manual:

% /usr/sbin/logrotate --state ~/mylogrotate.status ~/mylogrotate.conf

Caso contrário, como usuário não raiz, você não poderá alterar o arquivo de estado ou criar itens como reiniciar os serviços que não são de sua propriedade.

    
por 14.03.2014 / 20:09