Narcis Garcia: > Ara he provat amb una Debian 8, sense Apache però amb una > bitàcola semblant: > /var/log/auth.log
El «gestor» d'aquest fitxer és rsyslog, no és el mateix cas que amb els logs d'apache. > Jo, com a membre del grup «adm», puc consultar el contingut del > fitxer, (que conté entrades de sshd), però «journalctl -u ssh» > no em mostra res a menys que actui com a «root». El grup adm serveix per fer grep i coses similars. Com ja he dit abans, el journalctl utilitza un grup diferent per gestionar l'accés als logs a través seu, però ningú ha dit que journalctl tingui l'exclusiva d'accés als logs. > En aquest cas veig que el «postinst» del paquet openssh-server > no estableix permisos. Perquè no és responsabilitat d'aquest paquet fer-ho. Hi ha d'altres serveis que escriuen en aquest fitxer via syslog i no tindria sentit que tots ells comprovin els permisos i facin els canvis corresponents. > També ho he provat amb exim4 (concretament el postinst del > paquet exim4-base estableix que el grup «adm» pot llegir les > bitàcoles), i amb el mateix efecte en aquesta Debian: root > llegeix tot, qualsevol altre no llegeix res amb journalctl. És el mateix cas d'abans, no hi veig cap problema. > En definitiva, no crec que els empaquetadors estiguin > aconseguint establir permisos efectius. Els empaquetadors només s'han de preocupar pels permisos dels logs exclusius dels seus serveis (e.g. apache2, exim-base...) i això fan perquè qualsevol que tingui el grup que toca pugui utilitzar les odres habituals del shell per llegir-los. Que journalctl no tingui en compte això és una decisió pròpia de disseny que no té res a veure amb la feina que fan els empaquetadors. Salut, Alex
signature.asc
Description: PGP signature