Que programa define especificamente /var/log/boot.log para 644 perms no RHEL / Centos 6?

5

Fui designado para bloquear todos os arquivos /var/log para que eles não possam ser lidos, exceto pelo usuário raiz. Eu fiquei perplexo com o arquivo /var/log/boot.log . Parece que após cada inicialização o arquivo não importa o que o estado de permissão anterior é definido como 644 permissões.

Eu passei pelo exercício de alterar a umask em vários arquivos e funções% /etc/init.d sem sucesso.

Alguém tem alguma idéia do programa específico fazendo isso e talvez como fazer com que o perms em /var/log/boot.log seja 600?

    
por mdpc 02.03.2017 / 00:11

2 respostas

3

Por meio de um fgrep -r boot.log /usr , ele é o plymouth responsável. A página de manual plymouth é um bocado faltando no Centos 6, embora um código através do código-fonte mostre que existe uma opção no_boot_log , aparentemente que pode ser definida passando no-boot-log em algum lugar (supondo que você esteja bem com não há registros de plymouth). Ah! Com mais escavação, há um sinalizador world_readable que gira o mode usado para a chamada open(2) , exceto que isso é definido apenas como o terceiro argumento para

        log_is_opened = ply_logger_open_file (session->logger, filename, true);

trombone triste. De qualquer forma, você provavelmente estará mexendo com a imagem initrd para personalizar isso, ou talvez arquivar relatórios de bugs com RedHat para a) escrever alguns documentos para que menos código spelunking seja necessário eb) ofereça uma opção de alguma forma para configurar esse modo talvez via kernel arg ou algo assim.

    
por 02.03.2017 / 00:48
2

Ao entrar em contato com o suporte do RHEL para uma resposta aqui ....

O RHEL verifica que plymouth é o culpado.

Eles apontam para um documento de soluções ( link - restrito aos assinantes do RHEL) que verifica que, embora haja um sinalizador no código-fonte para abrir / criar o registro em um modo mais restritivo, não há como definir esse sinalizador de fora (ou seja, nenhuma opção), pois ele é codificado para ser legível por todos.

O documento de suporte do RHEL indica ainda que colocar um chmod no script /etc/rc.d/rc.local seria o caminho para fazer a alteração de permissão que desejo.

Que pena!

    
por 02.03.2017 / 01:42