假设您希望能够轻松查看最近登录系统的用户。
auth.log 有这些信息,但是它与 crontab 条目混杂在一起,您必须使用 sudo 才能读取它。
建议的解决方案:
- 编写一个脚本来解析 /var/log/auth.log 以寻找有趣的东西
- 让 root 成为该脚本的所有者
- 创建无法登录的用户
- 将该用户添加到“adm”组,从而授予他们对日志文件的只读访问权限
- 将脚本放入该用户的 crontab 中
该解决方案的安全风险是什么?将某人添加到 adm 组似乎有风险,但如果他们所能做的只是运行已检查不会做任何坏事的脚本。
答案1
解决方案本身不应带来安全风险,除非脚本的输出通过邮件发送或保存在其他用户可读的地方。
adm-group 的目的是允许该组中的用户查阅日志文件和 /dev/console(例如,xconsole 使用它们来显示控制台消息)。