Narcis Garcia:

> Ara he provat amb una Debian 8, sense Apache però amb una
> bitàcola semblant:
> /var/log/auth.log

El «gestor» d'aquest fitxer és rsyslog, no és el mateix cas que
amb els logs d'apache.

> Jo, com a membre del grup «adm», puc consultar el contingut del
> fitxer, (que conté entrades de sshd), però «journalctl -u ssh»
> no em mostra res a menys que actui com a «root».

El grup adm serveix per fer grep i coses similars. Com ja he dit
abans, el journalctl utilitza un grup diferent per gestionar
l'accés als logs a través seu, però ningú ha dit que journalctl
tingui l'exclusiva d'accés als logs.

> En aquest cas veig que el «postinst» del paquet openssh-server
> no estableix permisos.

Perquè no és responsabilitat d'aquest paquet fer-ho. Hi ha
d'altres serveis que escriuen en aquest fitxer via syslog i
no tindria sentit que tots ells comprovin els permisos i
facin els canvis corresponents.

> També ho he provat amb exim4 (concretament el postinst del
> paquet exim4-base estableix que el grup «adm» pot llegir les
> bitàcoles), i amb el mateix efecte en aquesta Debian: root
> llegeix tot, qualsevol altre no llegeix res amb journalctl.

És el mateix cas d'abans, no hi veig cap problema.

> En definitiva, no crec que els empaquetadors estiguin
> aconseguint establir permisos efectius.

Els empaquetadors només s'han de preocupar pels permisos dels
logs exclusius dels seus serveis (e.g. apache2, exim-base...)
i això fan perquè qualsevol que tingui el grup que toca pugui
utilitzar les odres habituals del shell per llegir-los.

Que journalctl no tingui en compte això és una decisió pròpia
de disseny que no té res a veure amb la feina que fan els
empaquetadors.

Salut,
Alex

Attachment: signature.asc
Description: PGP signature

Respondre per correu electrònic a