如何安全地允许 Bob 读取 /var/log/ 中的某些文件?
How to permit securely Bob to read some file in /var/log/?
这是我的第一个问题。
我正在使用 Centos 服务器。
我想知道如何允许适当地 非 sudoer 用户(我们称之为 Bob)读取 /var/log 中的特定文件。我希望能够在不成为 root 且不危害我的日志文件的情况下读取一些日志。
目前,
- 我创建了一个名为 "loggers"
的群组
- 我将 Bob 添加到组中
- 我为我想和 Bob 一起阅读的文件创建了一个 chgrp
- 我将文件权限从 600 更改为 640。
有没有更好的(安全的)方法来做同样的事情?
如果您对某个特殊群体感到满意,那就是这样做的方式。另一种方法是使用 ACL,它是对标准 unix 权限的补充。你会 return 你的日志文件到它原来的 unix 权限,然后允许 Bob 使用类似
setfacl -m user:Bob:r-- /var/log/mylogfile.log
在某些情况下,ACL 是不利的,特别是当您的文件 backup/migration 跨服务器或文件系统时。但是,您的情况并非如此。
这是我的第一个问题。
我正在使用 Centos 服务器。
我想知道如何允许适当地 非 sudoer 用户(我们称之为 Bob)读取 /var/log 中的特定文件。我希望能够在不成为 root 且不危害我的日志文件的情况下读取一些日志。
目前,
- 我创建了一个名为 "loggers" 的群组
- 我将 Bob 添加到组中
- 我为我想和 Bob 一起阅读的文件创建了一个 chgrp
- 我将文件权限从 600 更改为 640。
有没有更好的(安全的)方法来做同样的事情?
如果您对某个特殊群体感到满意,那就是这样做的方式。另一种方法是使用 ACL,它是对标准 unix 权限的补充。你会 return 你的日志文件到它原来的 unix 权限,然后允许 Bob 使用类似
setfacl -m user:Bob:r-- /var/log/mylogfile.log
在某些情况下,ACL 是不利的,特别是当您的文件 backup/migration 跨服务器或文件系统时。但是,您的情况并非如此。