我是使用 Ubuntu 12.04 LTS 系统的 Splunk 管理员,我想要从 /var/log/auth.log 收集事件。
-rw-r----- 1 root adm 16534643 Jan 8 09:49 /var/log/auth.log
Splunk 以普通用户身份运行,斯普朗克。
$ id splunk
uid=1984(splunk) gid=1984(splunk) groups=1984(splunk)
通常,我会使用此命令,使文件组可被 splunk 组读取。
$ chgrp splunk /var/log/auth.log
-rw-r----- 1 root splunk 16534643 Jan 8 09:49 /var/log/auth.log
这在其他 Linux 发行版上工作正常,我认为 Ubuntu 也一样。但我想问一下,管理员将来会给我(实际上是拥有该盒子的其他组)带来麻烦吗?我不是系统上的特权用户,因此我无法检查 /var/log/cron/adm 或 adm 帐户的邮件等内容。我还假设 logrotate 将尊重我的新组所有者的新文件。
(在您询问之前,只有有限数量的人可以访问 auth.log 的 splunk 索引。)
答案1
后续:由于没有人解释为什么“adm”组所有权如此重要,因此我将组所有权更改为“plunk”。
六个月后,没有发现任何问题。我决定不通过将 splunk 用户添加到“adm”组来授予其额外的组权限。我推断,如果有必要,我可以授予 adm 帐户“splunk”组成员的额外权限。
答案2
如果使用 AppArmor 等安全工具(请参阅https://wiki.ubuntu.com/AppArmor) 用于增加安全性。
我提到这一点只是因为我在尝试在 ubuntu 上配置 bind 并使用不同的目录时遇到了奇怪的问题(访问失败)。也就是说,bind 拒绝处理对我来说有意义但不是 AppArmor 默认设置的变化。由于我不想重新配置 AppArmor,所以我回到了它的默认设置 -sudo su当我需要进行更改时。对于单用户系统来说,这是可以的,但我不希望在生产系统中这样做。
最后,如果您接受审计,则管理员组可能很重要 - 即,如果不是管理员组,审计员可能会认为这是对系统完整性的破坏。您可能能够“通过”的一种方法是使用 ACL(访问控制列表) - 请参阅https://help.ubuntu.com/community/FilePermissions#ACL_.28Access_Control_List.29了解更多信息。