Dnia wto 10. lutego 2004 13:02, Jacek Konieczny napisał: > W dystrybucji mamy różne narzędzia do analizy logów - np. calamaris czy > logcheck. Niestety w domyślnej konfiguracji są one potencjalną dziurą > w bezpieczeństwie, bo mimo braku takiej konieczności pracujące z uid=0. > > Dlatego u siebie od jakiegoś już czasu wywalam domyślne konfigi > i konfiguruje takie rzeczy (oprócz tych z paczek mam też parę własnych) > po swojemu. > > W tym celu: > - tworzę grupę "logs" i daję jej prawo do czytania wszelkich logów > (wymaga to, oprócz chown w /var/log, zmiany w syslog-ng.conf > i logrotate.conf) > - tworzę użytkownika stats z grupą stats i dodatkowo w grupie logs. > Użytkownik ten tworzy wszelkie bazy, wykresiki, raporty itp. Uwaga, co do implementacji: IMHO ten użytkownik i te grupy powinny przychodzić razem z pakietem (chyba setup), a nie być tworzone przez skrypty, jak np. w apache.spec . Zacząłbym od rezerwacji nazw i idów i gidów w PLD-doc/uid_gid.db.txt > w przeznaczonym do tego katalogu (u mnie zwykle /var/local/rrd/...) > > Niestety, po upgradzie znowu część logów jest czytelna tylko dla roota > i zanim tego nie poprawię to mam dziury w statystykach :( Uważam, że nie ma sensu, żebyś się dłużej męczył ;-). > IMHO dobrze byłoby wprowadzić coś podobnego w PLD. Co wy na to? Ja to popieram, jak i to, że zanim zacznie się dokonywać zmian w podstawowych komponentach dystrybucji, to wysyła się tutaj posta z opisem planowanych zmian (jak to zrobiłeś), a nie działa metodą "faktów dokonanych", żeby inni się mogli wypowiedzieć, co na ten temat sądzą. > Z innych rzeczy które należałoby poprawić, to chociażby przeniesienie > plików generowanych dynamicznie przez mrtg (teraz gdzieś w /etc i w /home) > tam gdzie ich miejsce, a więc do /var > > Pozdrowienia, > Jacek Ja również. -- Tomasz Wittner
__________________________________________________________ nie pytaj co inni zrobili dla pld, pomysl ile sam zrobiles
