如何允许 Bob 安全地读取 /var/log/ 中的某些文件？ [关闭]

Posted 2023-02-23

【中文标题】如何允许 Bob 安全地读取 /var/log/ 中的某些文件？ [关闭]

【英文标题】：How to permit securely Bob to read some file in /var/log/? [closed]

【发布时间】：2016-07-23 14:24:48

【问题描述】：

这是我的第一个问题。

我正在使用 Centos 服务器。

我想知道如何适当地允许非 sudoer 用户（我们称之为 Bob）读取 /var/log 中的特定文件。我希望能够在没有 root 身份且不危害我的日志文件的情况下读取一些日志。

暂时，

我创建了一个名为“loggers”的组 我将 Bob 添加到组中 我为我想和 Bob 阅读的文件创建了一个 chgrp 我将文件权限从 600 更改为 640。

有没有更好（安全）的方法来做同样的事情？

【问题讨论】：

我在这里回答了类似的问题serverfault.com/questions/258827/…

【参考方案1】：

如果您对一个特殊的团体感到满意，那就是这样做的方法。另一种方法是使用 ACL，它是标准 unix 权限的补充。您将日志文件恢复为其原始的 unix 权限，然后允许 Bob 使用类似

setfacl -m user:Bob:r-- /var/log/mylogfile.log

在某些情况下 ACL 是不利的，特别是在您需要跨服务器或文件系统进行文件备份/迁移的情况下。但是，您的方案并非如此。

【讨论】：

它们可以，但是当您跨机器迁移文件时就不太直接了，因为操作系统知道 ACL 数据而不是文件。例如，对目录进行 tar 处理不会保留其 ACL。解决方案是在移动文件之前导出 ACL 权限，然后在目标机器上重新加载它们（并且有一些简单的方法可以做到这一点）。如果一切都是自动化的，就像在备份场景中一样，这没什么大不了的，但您需要记住另一件事

好的，谢谢加文！