Método preferido para permitir que usuários UNIX / Linux não privilegiados visualizem informações de syslog

Question

Método preferido para permitir que usuários UNIX / Linux não privilegiados visualizem informações de syslog

#1 resposta do (1 votos)
#2 resposta do (1 votos)

3

Eu tenho algumas "contas de função" sem privilégios que precisam da capacidade de visualizar [alguns dos] syslogs locais (por exemplo, /var/log/messages ) para fins de depuração.

Isto é explicitamente dados de registro locais, não syslog remoto, logstash, etc. Obviamente, existem várias maneiras de resolver este problema. O que eu gostaria de saber é se existe uma maneira bastante "padronizada" de resolver esse problema.

Normalmente, eu resolvo esse problema com o sudo, mas os grupos POSIX ou acls são atraentes, já que são poucos caracteres para os usuários digitarem e isso remove as entradas do log do sudo. No entanto, não acredito que já tenha visto isso antes. Qual sua experiência? Como grandes sites de base de instalação abordam isso?

sudo groups syslog linux access-control-list

por Joshua Hoblitt 12.09.2012 / 20:58

2 respostas

Tags sudo groups syslog linux access-control-list

transferencia de configuração por scp em commitnão funciona no switch Juniper EX-2200 O servidor DHCP secundário não inicia no Centos 6.2

score 1 · Answer 1

Você pode considerar a configuração de seu deamon de syslog (por exemplo, rsyslog) para espelhar a saída para outro arquivo em um local de sua escolha. Em seguida, faça uso de permissões regulares do sistema de arquivos. sugestão # 1

Como alternativa, é possível configurar o log remoto para alguns servidores e fornecer acesso somente em uma máquina separada para os usuários que leem a saída do log. Isso pode ser útil para desenvolvedores que não têm acesso a todos os servidores de produção, mas os administradores de sistemas desejam fornecer aos desenvolvedores a saída de log diretamente. sugestão # 2

score 1 · Answer 2

Typically, I solve this problem with sudo

erk. Isso também implica que você crie um script de shell para executar um programa para acessar o arquivo - o que significa que os usuários estão restritos a usar qualquer programa que você especificar.

Por que não apenas criar um grupo Unix que tenha permissão de acesso de leitura, alterar a propriedade do grupo do arquivo e alterar o trabalho de logrotate relevante para recriar essas permissões?