我有一些非特权的“角色账户”,需要能够查看[一些]本地系统日志(例如/var/log/messages)以进行调试。
这显然是本地日志数据,而不是远程 syslog、logstash 等。显然,有几种方法可以解决这个问题。我想知道是否有一种相当“标准化”的方法来解决这个问题。
通常,我使用 sudo 来解决这个问题,但 POSIX 组或更acls吸引人,因为用户只需输入几个字符,就可以从 sudo 日志中删除条目。但是,我认为我以前从未见过这样做。您的经验是什么?大型安装基础站点如何解决这个问题?
答案1
答案2
通常我使用 sudo 来解决这个问题
erk。这也意味着您要创建一个 shell 脚本来运行一个程序来访问该文件 - 这意味着用户只能使用您指定的任何程序。
为什么不创建一个允许读取访问的 Unix 组,更改文件的组所有权并修改相关的 logrotate 作业来重新创建这些权限?