Могу ли я безопасно изменить принадлежность к группе /var/log/auth.log?

Question 1

Я администратор Splunk, работающий с системой Ubuntu 12.04 LTS, и я хочу собирать события из /var/log/auth.log.

-rw-r----- 1 root adm 16534643 Jan  8 09:49 /var/log/auth.log

Splunk работает как обычный пользователь, splunk.

$ id splunk
uid=1984(splunk) gid=1984(splunk) groups=1984(splunk)

Обычно я бы использовал эту команду, чтобы группа файлов была прочитана группой splunk. 3]

$ chgrp splunk /var/log/auth.log
-rw-r----- 1 root splunk 16534643 Jan  8 09:49 /var/log/auth.log

Это отлично работает на других дистрибутивах Linux, и я полагаю, что это нормально с Ubuntu. Но я хочу спросить, выкарабкается splunk заставляет меня (в самом деле, другую группу, которая владеет коробкой) головные боли в будущем? Я не являюсь привилегированным пользователем в системе, поэтому я не могу проверять такие вещи, как / var / log / cron / adm или mail для учетной записи adm. Я также предполагаю, что logrotate почитает моего нового владельца группы для новых файлов.

(Прежде чем вы спросите, доступ к индексу splunk для auth.log ограничен ограниченным числом людей.) 6]

Question 2

adm group может быть важным, если для дополнительной безопасности используется средство безопасности, такое как AppArmor (см. https://wiki.ubuntu.com/AppArmor).

Я упоминаю об этом только потому, что я побежал в странные проблемы (сбои доступа) при попытке настроить привязку на ubuntu и использование разных каталогов. То есть, bind отказался работать с изменениями, которые имели смысл для меня, но не были настройками AppArmor. Поскольку я не хотел перенастраивать AppArmor, я вернулся к его значениям по умолчанию - и sudo su, когда мне нужно внести изменения. Для единой пользовательской системы это нормально, но я бы не хотел этого в производственной системе.

Наконец, группа adm может быть важна, если вы подвергаетесь аудиту, то есть аудитор может считать это нарушением целостности системы, если она не является группой adm. Способ, которым вы могли бы «пройти» с помощью ACL (списки контроля доступа), см. https://wiki.ubuntu.com/AppArmor для получения дополнительной информации об этом.

Michael Felt · Answer 1 · 24 May 2018 в 13:12

adm group может быть важным, если для дополнительной безопасности используется средство безопасности, такое как AppArmor (см. https://wiki.ubuntu.com/AppArmor).

Я упоминаю об этом только потому, что я побежал в странные проблемы (сбои доступа) при попытке настроить привязку на ubuntu и использование разных каталогов. То есть, bind отказался работать с изменениями, которые имели смысл для меня, но не были настройками AppArmor. Поскольку я не хотел перенастраивать AppArmor, я вернулся к его значениям по умолчанию - и sudo su, когда мне нужно внести изменения. Для единой пользовательской системы это нормально, но я бы не хотел этого в производственной системе.

Наконец, группа adm может быть важна, если вы подвергаетесь аудиту, то есть аудитор может считать это нарушением целостности системы, если она не является группой adm. Способ, которым вы могли бы «пройти» с помощью ACL (списки контроля доступа), см. https://wiki.ubuntu.com/AppArmor для получения дополнительной информации об этом.

Могу ли я безопасно изменить принадлежность к группе /var/log/auth.log?

1 ответ

Другие вопросы по тегам:

Похожие вопросы: