我想知道查看名为 webapp 的服务的日志/文件的最佳实践是什么。该 Web 应用程序在其自己的用户和组下运行,因此它所需的所有文件均归 webapp:webapp 所有。
如果我 ssh 进入我的服务器,如果我想跟踪日志(因为它们不是世界可读的),我需要 sudo,并且我想避免这种情况。
我应该将这些日志文件上的组更改为wheel或我所属的其他组,还是应该授予我的用户在webapp组中的成员资格?或者是其他东西?
答案1
有很多方法。您已经做了一些示例,例如成为“webapp”组的一部分。另一种方法是使用 ACL 来授予用户对目录和文件的访问权限。
答案2
好吧,你回答了你自己的问题。
这实际上取决于您的使用情况。如果将用户添加到组没有副作用webapp(例如组可写文件或具有用户不应访问的密码的敏感文件等),那么这将是我的默认选择 - 您不会冒应用程序(或相关诸如 cron、logrotate 等脚本)由于组更改而中断,您可以轻松查看哪些用户有权访问哪些内容。