Acesso aos logs para usuários não root / sudo

Question

Acesso aos logs para usuários não root / sudo

#1 resposta do (2 votos)
#2 resposta do (1 votos)

1

O que devo escolher para permitir que a equipe acesse os registros no servidor. Por exemplo, se eu tiver o webmaster do usuário que deve ter acesso a /var/log/{mysql,nginx, etc...} , como posso fazer isso? Talvez adicione o grupo log-access e altere o proprietário dos registros para este grupo? Ou não é bom jeito?

O Ubuntu é o principal sistema operacional que eu uso (raramente o CentOS).

permissions logging

por Sonique 30.09.2014 / 21:17

2 respostas

Tags permissions logging

postfix RCPT TO Falha de pesquisa temporária 451 && mail transporte indisponível [fechado] Exchange 2010 - Remover usuário do AD, manter e-mail

score 2 · Answer 1

Esta questão tem um escopo bem grande, especialmente com o ambíguo ' etc '. O que eu posso fazer é ajudar você a dividir isso em pedaços para que você possa gerenciar melhor o problema. Você precisa primeiro definir claramente quais logs eles precisam acessar e resolver um de cada vez.

Por arquivo de log, você precisará fazer algumas considerações;

Se a rotação de log for manipulada pelo serviço ou daemon, você precisará encontrar uma maneira de definir as permissões desejadas no arquivo de log por meio da configuração do serviço. Você pode usar coisas como umask no script de inicialização, o setgid bit no diretório de log (se for um subdiretório para / var / log), etc.
Se a rotação de log for manipulada pelo trabalho cron logrotate , há um método ' criar 'que você pode usar para definir o proprietário, o grupo e o modo do novo arquivo de log.
A última opção em que posso pensar é se o serviço usa o recurso syslog, você pode precisar definir permissões lá. (Por exemplo, rsyslogd.)

Em última análise, você provavelmente usará uma combinação de todos os itens acima. Você está no caminho certo com o uso de um grupo. O proprietário provavelmente permanecerá como root ou o proprietário do processo (quem quer que esteja escrevendo o arquivo). O proprietário manterá a leitura, a gravação e o grupo somente leitura.

Para obter respostas mais específicas, sua pergunta pode precisar ser mais específica. Comece por nos informar qual SO e versão você está executando.

score 1 · Answer 2

Em vez de fornecer acesso a uma máquina e arquivos, recomendo fornecer acesso a um serviço , como o Logstash ou o Splunk. É muito mais preferível do que dar permissões ao sistema e permitir que você tire grande proveito das ferramentas em si.