Моя програма вимагає доступу до читання /var/log/messages, що належить користувачеві та групі root. Який мінімальний рівень експозиції необхідний, /var/log/messagesщоб моя програма могла прочитати його?
Наразі мій план полягає в тому, щоб змінити право власності на групу /var/log/messagesна нову групу та додати до неї root та мого користувача програми, але це також надасть додатку для запису програми /var/log/messages.
ОС: Centos 5.5
Відповіді:
Не потрібно додавати корінь до групи, оскільки вона матиме доступ через приватні дані користувача, просто дайте групі прочитати будь-яку групу, яку ви вирішите. Не забудьте внести зміни і з логротатом, інакше зміни групи будуть видалені щоночі.
Просто розширити трохи вищезазначені відповіді - це справжній випадок використання у світі. Я запускаю програму аналізу журналу підприємства Splunk у вікні Redhat. Він працює під користувачем Splunk та Splunk. Це перешкоджає доступу до журналів у / var / log, оскільки вони доступні лише root (або адміністратор sudo)
Для того, щоб дозволити доступ лише для читання лише для запиту, я використовував деякі ACL та модифікований логротат, щоб зберегти його.
Ви можете вручну встановити ACL за допомогою
sudo setfacl -m g:splunk:rx /var/log/messages
Це не збережеться, оскільки logrotate не повторно застосує налаштування ACL, тому для більш постійного рішення я додав правило logrotate для скидання ACL. Я додав файл ..
/etc/logrotate.d/Splunk_ACLs
з
{
postrotate
/usr/bin/setfacl -m g:splunk:rx /var/log/cron
/usr/bin/setfacl -m g:splunk:rx /var/log/maillog
/usr/bin/setfacl -m g:splunk:rx /var/log/messages
/usr/bin/setfacl -m g:splunk:rx /var/log/secure
/usr/bin/setfacl -m g:splunk:rx /var/log/spooler
endscript
}
Перевірте стан файлу ACL за допомогою
$ getfacl /var/log/messages
Для отримання додаткової інформації про ACL див. Https://help.ubuntu.com/community/FilePermissionsACLs http://bencane.com/2012/05/27/acl-using-access-control-lists-on-linux/
/etc/logrotate.d/Splunk_ACLsщо ви там розмістили? Насправді вам не потрібно вказувати будь-які шляхи для logrotate для обробки біту postrotate?
Ваш план прийнятний, і в "традиційній" схемі дозволів Unix це найкращий шлях.
Інший варіант полягає в тому, щоб системний журнал переадресував цікаві повідомлення до іншого файлу (що дозволяє уникнути надання користувачу програми доступу до будь-якого чутливого, що може бути /var/log/messages).
Якщо вам не здається, що ви пов'язані традиційною схемою дозволів користувача / групи / іншого, ви також можете використовувати POSIX ACL (інші, можливо, кращі хаоти / інформацію, доступні через Google), щоб надати користувачеві програми доступ лише для читання /var/log/messages- це трохи більш дрібнозернисто і не ризикує випадково помістити когось іншого в групу програми та надати їм доступ до речей, які вони не зможуть бачити.
Я раніше setfaclце робив, щоб отримати доступ до mail.logфайлу для клієнта, але вам також не потрібно буде дотримуватися команди у logrotate.confфайлі, щоб повторно встановити ACL після обертання журналів, наприклад:
postrotate
/usr/bin/setfacl -m o::r /var/log/mail.log
endscript
Зауважте, що я тільки що це налаштував, і не перевіряв, але, хоч це буде опубліковано тут, я можу побачити, чому він би працював, хтось мене виправить, якщо я помиляюся.