webalizer uruchamiany _domyślnie_ z crona _jako root_

Jacek Konieczny jajcus w bnet.pl
Śro, 23 Mar 2005, 16:07:18 CET


On Wed, Mar 23, 2005 at 03:51:46PM +0100, Paweł Gołaszewski wrote:
> On Wed, 23 Mar 2005, Jakub Bogusz wrote:
> > Kto to wymyślił, żeby webalizer _domyślnie_ po instalacji uruchamiał się 
> > z crona _z roota_???
> > 
> > Jaka jest gwarancja, że tenże webalizer nie ma dziur pozwalających na 
> > wykonanie kodu przez "dziwne wpisy" w logach???
> 
> Z drugiej strony... z jakiego usera to by miało chodzić?

stats

> logi są domyślnie root:logs
> Da się crona zmusić do działania z jakąć grupą? Chyba nie bardzo..

Statystyki powinny być generowane z: uid=stats, gid=stats, groups=logs,
w ten sposób skrypt ma dostęp do czytania logów, a wygenerowane
statystyki mają grupę, która umożliwia kontrolę dostępu do nich
niezależną od kontroli dostępu do samych logów (statystyki się czasem na
WWW, logów raczej nie).

Czasem programy piszące do logów nie mają uprawnień roota i trzeba dać
im prawo pisania do logów, jednocześnie nie zabierając użytkownikowi
"stats" prawa do czytania tych logów. Tak np. jest ze squidem. W takim
przypadku należy użytkownika "stats" dodać do odpowiedniej grupy (w tym
przypadku "squid").

Pozdrowienia,
	Jacek




Więcej informacji o liście dyskusyjnej pld-devel-pl