Назад | Перейти на главную страницу

безопасность logrotate

Есть ли какие-либо опасения по поводу безопасности работы logrotate от имени пользователя root? Кто-нибудь спросил, не может ли злоумышленник подорвать конфигурацию, чтобы что-нибудь перезаписать? Можно ли запускать logrotate из cron другого пользователя?

Пока пользователь может записывать и создавать файлы в каталоге с вашими файлами журнала, вы можете использовать другого пользователя. Однако, если ваша конфигурация logrotate доступна для редактирования только root, я не вижу в этом большого риска. Если кто-то может подорвать, он может получить root и причинить гораздо больший вред, чем просто испортить файлы журналов, поэтому проблемы, хотя и существуют, на самом деле не оправдывают настройку стандартного приложения, такого как logrotate.

Если конфигурация logrotate доступна для записи только пользователю root, у вас не должно возникнуть проблем с тем, что люди изменят ее для перезаписи случайных файлов. Если вы хотите запустить его как другой пользователь, вам нужно будет убедиться, что у этого пользователя есть доступ для изменения всех файлов журнала, которые вы хотите повернуть, что добавит сложности с очень небольшой отдачей.

Обычно любой пользователь должен иметь возможность запускать logrotate, но вам нужно переопределить как файл состояния по умолчанию, так и конфигурацию по умолчанию. Это довольно просто сделать, просмотрев страницы руководства:

% /usr/sbin/logrotate --state ~/mylogrotate.status ~/mylogrotate.conf

В противном случае, как пользователь без полномочий root, вы не сможете изменять файл состояния или делать такие необычные вещи, как перезапуск служб, которыми вы не владеете.