RFC: grupa "logs", user "stats"

[Jacek Konieczny]

W dystrybucji mamy różne narzędzia do analizy logów - np. calamaris czy
logcheck. Niestety w domyślnej konfiguracji są one potencjalną dziurą
w bezpieczeństwie, bo mimo braku takiej konieczności pracujące z uid=0.

Dlatego u siebie od jakiegoś już czasu wywalam domyślne konfigi
i konfiguruje takie rzeczy (oprócz tych z paczek mam też parę własnych)
po swojemu.

W tym celu:
- tworzę grupę "logs" i daję jej prawo do czytania wszelkich logów
  (wymaga to, oprócz chown w /var/log, zmiany w syslog-ng.conf
  i logrotate.conf)
- tworzę użytkownika stats z grupą stats i dodatkowo w grupie logs.
  Użytkownik ten tworzy wszelkie bazy, wykresiki, raporty itp.
  w przeznaczonym do tego katalogu (u mnie zwykle /var/local/rrd/...)

Niestety, po upgradzie znowu część logów jest czytelna tylko dla roota
i zanim tego nie poprawię to mam dziury w statystykach :(

IMHO dobrze byłoby wprowadzić coś podobnego w PLD. Co wy na to?

Z innych rzeczy które należałoby poprawić, to chociażby przeniesienie
plików generowanych dynamicznie przez mrtg (teraz gdzieś w /etc i w /home)
tam gdzie ich miejsce, a więc do /var

Pozdrowienia,
	Jacek