7 votes

Est-ce que je peux changer en toute sécurité la propriété du groupe de /var/log/auth.log?

Je suis l'administrateur Splunk travaillant avec un système Ubuntu 12.04 LTS et je veux collecter des événements à partir de /var/log/auth.log.

-rw-r----- 1 root adm 16534643 Jan  8 09:49 /var/log/auth.log

Splunk s'exécute en tant qu'utilisateur normal, splunk.

$ id splunk
uid=1984(splunk) gid=1984(splunk) groupes=1984(splunk)

Normalement, j'utiliserais cette commande pour rendre le fichier lisible par le groupe splunk.

$ chgrp splunk /var/log/auth.log
-rw-r----- 1 root splunk 16534643 Jan  8 09:49 /var/log/auth.log

Cela fonctionne bien sur d'autres distributions Linux et je suppose que cela fonctionnera également avec Ubuntu. Mais je veux quand même demander, est-ce que changer le groupe adm me causera des problèmes à l'avenir (en fait, à l'autre groupe qui possède la machine) ? Je ne suis pas un utilisateur privilégié sur le système, donc je ne peux pas vérifier des choses comme /var/log/cron/adm ou les mails pour le compte adm. J'assume également que logrotate respectera mon nouveau propriétaire de groupe pour les nouveaux fichiers.

(Avant que vous ne demandiez, l'accès à l'index splunk pour auth.log est limité à un nombre restreint de personnes.)

3voto

iAmJeff Points 111

Suivi : Puisque personne n'a jamais donné de raison pour laquelle la propriété du groupe "adm" était importante, j'ai changé la propriété du groupe en "splunk".

Après 6 mois, aucun problème n'a été remarqué. J'ai décidé de ne pas donner à l'utilisateur splunk des privilèges de groupe supplémentaires en l'ajoutant au groupe "adm". Je me suis dit que je pourrais donner au compte adm le privilège supplémentaire d'appartenir au groupe "splunk", si nécessaire.

2voto

John J Smith Points 5051

Le groupe adm peut être important SI un outil de sécurité tel qu'AppArmor (voir https://wiki.ubuntu.com/AppArmor) est utilisé pour une sécurité supplémentaire.

Je mentionne cela uniquement parce que j'ai rencontré des problèmes étranges (échecs d'accès) en essayant de configurer bind sur ubuntu et en utilisant des répertoires différents. Autrement dit, bind refusait de fonctionner avec des modifications qui me semblaient logiques mais qui n'étaient pas celles par défaut d'AppArmor. Comme je ne voulais pas reconfigurer AppArmor, je suis revenu à ses paramètres par défaut - et sudo su lorsque j'ai besoin de faire des changements. Pour un système monoposte, cela va, mais je ne voudrais pas que ce soit ainsi dans un système de production.

Enfin, le groupe adm peut être important si vous êtes soumis à une vérification - c'est-à-dire, un auditeur pourrait considérer comme une atteinte à l'intégrité du système s'il ne fait pas partie du groupe adm. Une façon de peut-être 'réussir' est d'utiliser des ACL (Listes de Contrôle d'Accès) - voir https://help.ubuntu.com/community/FilePermissions#ACL_.28Access_Control_List.29 pour plus d'informations à ce sujet.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X