On Sun, Jan 09, 2022 at 02:18:05PM +0100, Daniel Lauckner wrote: > am Sonntag, 9. Januar 2022 um 14:06 hat Marc Haber geschrieben: > > On Sun, Jan 09, 2022 at 02:00:44PM +0100, Daniel Lauckner wrote: > >> Alternativer Ansatz wäre die systemd-Konfiguration zu erweitern: > >> ExecStartPre=/bin/chmod 770 /var/log > > > Das ist aus Sicht der Distribution ein ganz böses Foul. Das Verzeichnis > > "gehört" Euch nicht. > > Es gibt keine Gruppen die Logs anlegen dürfen? Versteh ich nicht... > Gruppe root wollte ich ihm nicht geben, das untergräbt den Zweck der Übung.
Deswegen meine Empfehlung, für Applikationen, die nicht als root laufen, in ein eigenes Verzeichnis zu loggen. /var/log/foo kann dann dem passenden user gehören und der kann dann loggen wir er lustig ist. Bei vzlogger kommt dazu dass die Anleitungen die Benutzer mal dazu aufordern, den Daemon auf der normalen Kommandozeile zu starten und als nächstes wieder als Daemon, das macht natürlich Chaos mit Log- und Dumpdateien. Gäbe es ein vzlogger:vzlogger 755 oder vzlogger:adm 755 /var/log/vzlogger, würde ein als normaler User gestarteter vzlogger sofort aus dem fenster springen weil er sein Log nicht öffnen kann. Das würde vielleicht auch das Chaos reduzieren. Bei vielen anderen Daemons ist es so, dass man sie als root startet und sie erst forken, dann Dinge als root tun (z.B. ports < 1024 binden) und dann die root-rechte fallen lassen und als normaler User weiterlaufen. Das muss der vzlogger aber nicht, weil der keine Aufgabe hat für die es unbedingt root braucht, das kann man alles über geeignete Dateisytemrechte lösen. Zumindest auf Debian ist /var/log definiert als root:root 755, und es loggen dort nur Prozesse hin, die als root laufen (oder via syslog loggen, das wäre vielleicht auch eine methode für vzlogger...) Zusätzlich gibt es die Vereinbarung, dass vertrauchliche logs, die nicht world readable sind, für die gruppe adm lesbar zu machen, damit die Administratoren nicht jedes Mal root werden müssen. In der Red Hat Welt sind die Permissions auf Logs tendenziell schärfer, da bin ich viel mehr als root am rumturnen als in Debian. Da weiß ich aber zu wenig über die Policies um das erklären zu können. Ich kann da gerne weiter helfen, fragt gerne. Uns allen ist geholfen wenn sich der vzlogger eher wie ein "normaler" Daemon verhält und im System nicht so viele Sonderlocken braucht. Grüße Marc -- ----------------------------------------------------------------------------- Marc Haber | "I don't trust Computers. They | Mailadresse im Header Leimen, Germany | lose things." Winona Ryder | Fon: *49 6224 1600402 Nordisch by Nature | How to make an American Quilt | Fax: *49 6224 1600421