我注意到与大多数日志不同,/var/log/auth.log 不是世界可读的。哪些敏感数据会记录到 auth.log 中,从而使其具有这些更受限制的权限? (我正在尝试确定使其可供世界阅读是否安全)。这是在 Ubuntu 14 上。
答案1
它包含所有连接的日志,这些日志可以被视为私有信息,至少在多用户系统上是这样:只有管理员才能知道用户何时以及如何登录到系统(甚至需要仔细考虑这些知识)。作为贾科莫·卡泰纳齐但指出,还有其他方式获取此信息,默认情况下不受限制。
也许更重要的是,它还包含命令日志sudo
,这些日志很容易包含敏感信息(这也是您应该避免在命令行上指定密码的原因之一)。同样,在多用户系统上,管理员可能不希望所有用户都能看到所做的一切sudo
......
请注意,这只是默认auth.log
设置,与日志记录的任何方面一样,系统管理员可以按照自己的方式重新配置它。
答案2
因为它通常包含用户的密码。在登录字段中写入密码的情况并不罕见,因此通过读取 auth.log,我们可以找到某些用户的密码(他们会在尝试失败后登录,因此登录名和密码都可用)。
这是我20年前学到的。现在@StephenKitt 答案的第二点也是有效的。
答案3
这是不安全的。使其成为世界可读的将使日志中毒变得更容易。攻击者在包含邪恶脚本之前会想要检查他们精心设计的输入是否已登录。如果没有这个,他们将蒙着眼睛工作。