RFC: grupa "logs", user "stats"

[Tomasz Wittner]

Dnia wto 10. lutego 2004 13:02, Jacek Konieczny napisał:
> W dystrybucji mamy różne narzędzia do analizy logów - np. calamaris czy
> logcheck. Niestety w domyślnej konfiguracji są one potencjalną dziurą
> w bezpieczeństwie, bo mimo braku takiej konieczności pracujące z uid=0.
>
> Dlatego u siebie od jakiegoś już czasu wywalam domyślne konfigi
> i konfiguruje takie rzeczy (oprócz tych z paczek mam też parę własnych)
> po swojemu.
>
> W tym celu:
> - tworzę grupę "logs" i daję jej prawo do czytania wszelkich logów
>   (wymaga to, oprócz chown w /var/log, zmiany w syslog-ng.conf
>   i logrotate.conf)
> - tworzę użytkownika stats z grupą stats i dodatkowo w grupie logs.
>   Użytkownik ten tworzy wszelkie bazy, wykresiki, raporty itp.
Uwaga, co do implementacji: IMHO ten użytkownik i te grupy powinny przychodzić 
razem z pakietem (chyba setup), a nie być tworzone przez skrypty, jak np. w 
apache.spec . Zacząłbym od rezerwacji nazw i idów i gidów w 
PLD-doc/uid_gid.db.txt
>   w przeznaczonym do tego katalogu (u mnie zwykle /var/local/rrd/...)
>
> Niestety, po upgradzie znowu część logów jest czytelna tylko dla roota
> i zanim tego nie poprawię to mam dziury w statystykach :(
Uważam, że nie ma sensu, żebyś się dłużej męczył ;-).
> IMHO dobrze byłoby wprowadzić coś podobnego w PLD. Co wy na to?
Ja to popieram, jak i to, że zanim zacznie się dokonywać zmian w podstawowych 
komponentach dystrybucji, to wysyła się tutaj posta z opisem planowanych 
zmian (jak to zrobiłeś), a nie działa metodą "faktów dokonanych", żeby inni 
się mogli wypowiedzieć, co na ten temat sądzą.
> Z innych rzeczy które należałoby poprawić, to chociażby przeniesienie
> plików generowanych dynamicznie przez mrtg (teraz gdzieś w /etc i w /home)
> tam gdzie ich miejsce, a więc do /var
>
> Pozdrowienia,
> 	Jacek
Ja również.
-- 
Tomasz Wittner