У меня есть непривилегированные «ролевые учетные записи», которым нужна возможность просматривать [некоторые из] локальных системных журналов (например, /var/log/messages) в целях отладки.
Это явно локальные данные журнала, а не удаленный системный журнал, журнал событий и т. Д. Очевидно, что есть несколько способов решения этой проблемы. Я хотел бы знать, существует ли достаточно «стандартизированный» способ решения этой проблемы.
Обычно я решаю эту проблему с помощью sudo, но либо группы POSIX, либо acls привлекателен, так как пользователям вводится мало символов, и он удаляет записи из журнала sudo. Однако я не думаю, что когда-либо видел подобное раньше. Какой у вас опыт? Как решить эту проблему крупные сайты с установочной базой?
Обычно я решаю эту проблему с помощью sudo
эрк. Это также означает, что вы создаете сценарий оболочки для запуска программы для доступа к файлу - это означает, что пользователи могут использовать любую указанную вами программу (ы).
Почему бы просто не создать группу Unix, которой разрешен доступ для чтения, изменить групповое владение файлом и изменить соответствующее задание logrotate, чтобы воссоздать эти разрешения?
Вы можете подумать о настройке вашего syslog deamon (например, rsyslog) для зеркалирования вывода в другой файл в выбранном вами месте. Затем используйте обычные разрешения файловой системы. подсказка №1
В качестве альтернативы можно настроить удаленное ведение журнала для некоторых серверов и предоставить доступ только к отдельной машине для пользователей, читающих выходные данные журнала. Это может быть полезно для разработчиков, вообще не имеющих доступа к производственным серверам, но системные администраторы хотят напрямую предоставлять вывод журнала разработчикам. подсказка # 2