RFC: grupa "logs", user "stats"

Śro, 11 Lut 2004, 12:28:20 CET

On Tue, 10 Feb 2004, Jacek Konieczny wrote:
> W dystrybucji mamy różne narzędzia do analizy logów - np. calamaris czy
> logcheck. Niestety w domyślnej konfiguracji są one potencjalną dziurą w
> bezpieczeństwie, bo mimo braku takiej konieczności pracujące z uid=0.

Niestety...

> Dlatego u siebie od jakiegoś już czasu wywalam domyślne konfigi i
> konfiguruje takie rzeczy (oprócz tych z paczek mam też parę własnych) po
> swojemu.
> 
> W tym celu:
> - tworzę grupę "logs" i daję jej prawo do czytania wszelkich logów
>   (wymaga to, oprócz chown w /var/log, zmiany w syslog-ng.conf i
>   logrotate.conf)

> - tworzę użytkownika stats z grupą stats i dodatkowo w grupie logs.  
>   Użytkownik ten tworzy wszelkie bazy, wykresiki, raporty itp.  w
>   przeznaczonym do tego katalogu (u mnie zwykle /var/local/rrd/...)

Użytkownik - ok.
Z grupą nie jest tak różowo.... Przykład ode mnie:

# ls -l /var/log/
razem 10924
-rw-r--r--    1 root     root            0 2001-09-15  alert
drwxr-x---    7 root     root         4096 02-11 04:41 archiv
-rw-r--r--    1 root     root          278 2002-05-28  bofh.log
-rw-r-----    1 clamav   root       143766 02-11 12:05 clamav.log
-rw-rw----    1 root     crontab    144294 02-11 12:20 cron
-rw-r-----    1 root     root        15339 01-26 13:35 dmesg
-rw-r-----    1 root     root        12672 02-10 22:25 faillog
-rw-r--r--    1 root     root       165911 2003-01-31  firewall.log
drwxr-x---    2 root     root         4096 02-11 04:31 httpd
drwxr-x---    2 root     root         4096 12-03 19:26 iptraf
-rw-r-----    1 root     root      1349032 02-11 12:20 kernel
-rw-rw----    1 root     utmp       154176 02-11 11:21 lastlog
-rw-rw-rw-    1 root     root            0 12-23 22:20 lstatd
-rw-r-----    1 root     root      7153767 02-11 12:20 maillog
-rw-r-----    1 root     root      1992538 02-11 12:20 messages
drwxr-x---    2 mysql    mysql        4096 10-05 14:33 mysql
drwxr-xr-x    2 daemon   daemon       4096 2002-09-01  oops
-rw-r-----    1 root     root        70816 02-11 11:44 rsyncd.log
drwxr-x---    2 root     root         4096 02-11 04:31 samba
-rw-r-----    1 root     root            0 02-11 04:41 secure
-rw-r-----    1 root     root            0 2001-09-15  spooler
drwxrwx---    2 root     squid        4096 02-11 04:35 squid
-rw-rw-r--    1 root     utmp         1536 02-11 11:26 wtmpx

Taki cron ma z bardzo konkretnego powodu grupę crontab. Przy squidzie 
dałoby się tutaj coś pokombinować.

> Niestety, po upgradzie znowu część logów jest czytelna tylko dla roota i
> zanim tego nie poprawię to mam dziury w statystykach :(
> 
> IMHO dobrze byłoby wprowadzić coś podobnego w PLD. Co wy na to?

Jestem za, ale wbrew pozorom to dużo pracy i wiele może się rypnąć.

> Z innych rzeczy które należałoby poprawić, to chociażby przeniesienie
> plików generowanych dynamicznie przez mrtg (teraz gdzieś w /etc i w
> /home) tam gdzie ich miejsce, a więc do /var

w home mrtg generuje strony.
Co chcesz do /var przenosić? lock-i? To jest sprawa konfiguracji i może 
domyślna powinna w /var je tworzyć, ale to ma małe znaczenie IMHO.

-- 
pozdr.  Paweł Gołaszewski 
---------------------------------
worth to see: http://www.againsttcpa.com/
CPU not found - software emulation...