RFC: grupa "logs", user "stats"
Paweł Gołaszewski
blues w ds.pg.gda.pl
Śro, 11 Lut 2004, 13:54:38 CET
On Wed, 11 Feb 2004, Jacek Konieczny wrote:
> > Użytkownik - ok.
> > Z grupą nie jest tak różowo.... Przykład ode mnie:
> [...]
> > # ls -l /var/log/
> > -rw-rw---- 1 root crontab 144294 02-11 12:20 cron
> >
> > Taki cron ma z bardzo konkretnego powodu grupę crontab. Przy squidzie
> > dałoby się tutaj coś pokombinować.
> User stats nie musi należeć jedynie do grupy "logs". No i można się
> zastanowić, czy /var/log/cron nie mogło by mieć "o+r".
Raczej nie.
Mamy konfigurację taką, że użytkownicy nie mogą czytać logów i niech tak
zostanie. Teraz pojawi się *grupa* , która oprócz tego co piszesz, pozwoli
dać odpowiednim osobom prawo do czytania logów. o+r jest tutaj IMHO
całkowicie zbędne i argumentacja jest taka sama jak restricted /proc w
standardowej konfiguracji (prywatność - nie chcę, żeby ktoś wiedział, że
co 5 minut odpalam skrypt "dupa").
> > > Niestety, po upgradzie znowu część logów jest czytelna tylko dla
> > > roota i zanim tego nie poprawię to mam dziury w statystykach :( IMHO
> > > dobrze byłoby wprowadzić coś podobnego w PLD. Co wy na to?
> > Jestem za, ale wbrew pozorom to dużo pracy i wiele może się rypnąć.
> Trzeba starać się zrobić to tak, żeby się nie rypnęło.
słuszna uwaga :D
> > > Z innych rzeczy które należałoby poprawić, to chociażby
> > > przeniesienie plików generowanych dynamicznie przez mrtg (teraz
> > > gdzieś w /etc i w /home) tam gdzie ich miejsce, a więc do /var
> > w home mrtg generuje strony.
> A nie powinien. W /home to sobie user/admin może pliki tworzyć nie jakiś
> demon! Czy jest jaki kolwiek powód dla którego nie mogłyby te strony być
> w /var?
nie, poza koniecznością zrobienia porządnych triggerów.
> To że przy aktualnym konfigu apache nie będą widoczne, to nie jest
> powód.
To jest żaden powód, bo trzeba zrobić porządne triggery.
> > Co chcesz do /var przenosić? lock-i? To jest sprawa konfiguracji i
> > może domyślna powinna w /var je tworzyć, ale to ma małe znaczenie
> > IMHO.
> IMHO ma duże znaczenie. Nie po to mamy FHS żeby go tak po prostu łamać.
> Co prawda problemy wychodzą żadko, ale jednak mogą wyjść.
Nie ma problemu - /var/lock/mrtg nie jest problemem, żeby domyślne locki
tam się pojawiały. Ten katalog powinien mieć 777 chyba bo statystyki można
z różnych userów robić.
--
pozdr. Paweł Gołaszewski
---------------------------------
worth to see: http://www.againsttcpa.com/
CPU not found - software emulation...
Więcej informacji o liście dyskusyjnej pld-devel-pl