On Tue, 10 Feb 2004, Jacek Konieczny wrote: > W dystrybucji mamy różne narzędzia do analizy logów - np. calamaris czy > logcheck. Niestety w domyślnej konfiguracji są one potencjalną dziurą w > bezpieczeństwie, bo mimo braku takiej konieczności pracujące z uid=0.
Niestety... > Dlatego u siebie od jakiegoś już czasu wywalam domyślne konfigi i > konfiguruje takie rzeczy (oprócz tych z paczek mam też parę własnych) po > swojemu. > > W tym celu: > - tworzę grupę "logs" i daję jej prawo do czytania wszelkich logów > (wymaga to, oprócz chown w /var/log, zmiany w syslog-ng.conf i > logrotate.conf) > - tworzę użytkownika stats z grupą stats i dodatkowo w grupie logs. > Użytkownik ten tworzy wszelkie bazy, wykresiki, raporty itp. w > przeznaczonym do tego katalogu (u mnie zwykle /var/local/rrd/...) Użytkownik - ok. Z grupą nie jest tak różowo.... Przykład ode mnie: # ls -l /var/log/ razem 10924 -rw-r--r-- 1 root root 0 2001-09-15 alert drwxr-x--- 7 root root 4096 02-11 04:41 archiv -rw-r--r-- 1 root root 278 2002-05-28 bofh.log -rw-r----- 1 clamav root 143766 02-11 12:05 clamav.log -rw-rw---- 1 root crontab 144294 02-11 12:20 cron -rw-r----- 1 root root 15339 01-26 13:35 dmesg -rw-r----- 1 root root 12672 02-10 22:25 faillog -rw-r--r-- 1 root root 165911 2003-01-31 firewall.log drwxr-x--- 2 root root 4096 02-11 04:31 httpd drwxr-x--- 2 root root 4096 12-03 19:26 iptraf -rw-r----- 1 root root 1349032 02-11 12:20 kernel -rw-rw---- 1 root utmp 154176 02-11 11:21 lastlog -rw-rw-rw- 1 root root 0 12-23 22:20 lstatd -rw-r----- 1 root root 7153767 02-11 12:20 maillog -rw-r----- 1 root root 1992538 02-11 12:20 messages drwxr-x--- 2 mysql mysql 4096 10-05 14:33 mysql drwxr-xr-x 2 daemon daemon 4096 2002-09-01 oops -rw-r----- 1 root root 70816 02-11 11:44 rsyncd.log drwxr-x--- 2 root root 4096 02-11 04:31 samba -rw-r----- 1 root root 0 02-11 04:41 secure -rw-r----- 1 root root 0 2001-09-15 spooler drwxrwx--- 2 root squid 4096 02-11 04:35 squid -rw-rw-r-- 1 root utmp 1536 02-11 11:26 wtmpx Taki cron ma z bardzo konkretnego powodu grupę crontab. Przy squidzie dałoby się tutaj coś pokombinować. > Niestety, po upgradzie znowu część logów jest czytelna tylko dla roota i > zanim tego nie poprawię to mam dziury w statystykach :( > > IMHO dobrze byłoby wprowadzić coś podobnego w PLD. Co wy na to? Jestem za, ale wbrew pozorom to dużo pracy i wiele może się rypnąć. > Z innych rzeczy które należałoby poprawić, to chociażby przeniesienie > plików generowanych dynamicznie przez mrtg (teraz gdzieś w /etc i w > /home) tam gdzie ich miejsce, a więc do /var w home mrtg generuje strony. Co chcesz do /var przenosić? lock-i? To jest sprawa konfiguracji i może domyślna powinna w /var je tworzyć, ale to ma małe znaczenie IMHO. -- pozdr. Paweł Gołaszewski --------------------------------- worth to see: http://www.againsttcpa.com/ CPU not found - software emulation... __________________________________________________________ nie pytaj co inni zrobili dla pld, pomysl ile sam zrobiles
