RFC: grupa "logs", user "stats"

[Jacek Konieczny]

On Wed, Feb 11, 2004 at 12:28:20PM +0100, Paweł Gołaszewski wrote:
> > W tym celu:
> > - tworzę grupę "logs" i daję jej prawo do czytania wszelkich logów
> >   (wymaga to, oprócz chown w /var/log, zmiany w syslog-ng.conf i
> >   logrotate.conf)
> 
> > - tworzę użytkownika stats z grupą stats i dodatkowo w grupie logs.  
> >   Użytkownik ten tworzy wszelkie bazy, wykresiki, raporty itp.  w
> >   przeznaczonym do tego katalogu (u mnie zwykle /var/local/rrd/...)
> 
> Użytkownik - ok.
> Z grupą nie jest tak różowo.... Przykład ode mnie:
[...]
> # ls -l /var/log/
> -rw-rw----    1 root     crontab    144294 02-11 12:20 cron
> 
> Taki cron ma z bardzo konkretnego powodu grupę crontab. Przy squidzie 
> dałoby się tutaj coś pokombinować.

User stats nie musi należeć jedynie do grupy "logs". No i można się
zastanowić, czy /var/log/cron nie mogło by mieć "o+r".

> > Niestety, po upgradzie znowu część logów jest czytelna tylko dla roota i
> > zanim tego nie poprawię to mam dziury w statystykach :(
> > 
> > IMHO dobrze byłoby wprowadzić coś podobnego w PLD. Co wy na to?
> 
> Jestem za, ale wbrew pozorom to dużo pracy i wiele może się rypnąć.

Trzeba starać się zrobić to tak, żeby się nie rypnęło.

> > Z innych rzeczy które należałoby poprawić, to chociażby przeniesienie
> > plików generowanych dynamicznie przez mrtg (teraz gdzieś w /etc i w
> > /home) tam gdzie ich miejsce, a więc do /var
> 
> w home mrtg generuje strony.

A nie powinien. W /home to sobie user/admin może pliki tworzyć nie jakiś
demon! Czy jest jaki kolwiek powód dla którego nie mogłyby te strony być
w /var? To że przy aktualnym konfigu apache nie będą widoczne, to nie
jest powód.

> Co chcesz do /var przenosić? lock-i? To jest sprawa konfiguracji i może 
> domyślna powinna w /var je tworzyć, ale to ma małe znaczenie IMHO.

IMHO ma duże znaczenie. Nie po to mamy FHS żeby go tak po prostu łamać.
Co prawda problemy wychodzą żadko, ale jednak mogą wyjść.

Pozdrowienia,
	Jacek