我应该select什么让员工访问服务器上的日志。 例如,如果我有用户网站pipe理员应该有权访问/var/log/{mysql,nginx, etc...} ,我该怎么做呢? 也许添加组log-access和更改log-access所有者到这个组? 或者这不是好的方法?
Ubuntu是我使用的主要操作系统(很lessCentOS)。
这个问题有一个相当大的范围,特别是在那里含糊不清的“ 等 ”。 我能做的就是帮助你把这件事分解成几块,这样你就可以更好地处理这个问题。 您需要先清楚地定义他们需要访问的日志,然后逐个处理。
每个日志文件,你需要做一些考虑;
如果日志轮转由服务或守护进程处理,您需要想出一种方法来通过服务的configuration在日志文件上设置所需的权限。 您可以在初始化脚本中使用umask ,日志目录中的setgid位(如果它是/ var / log的子目录)等。
如果日志轮转由logrotate cron作业处理,则可以使用“ 创build ”方法来设置新日志文件的所有者,组和模式。
我能想到的最后一个选项是,如果服务使用syslog工具,则可能需要在那里设置权限。 (例如,rsyslogd。)
最终,你可能会使用以上所有的组合。 你正在使用一个小组正确的轨道。 所有者可能仍然是root或者进程所有者(无论哪个人正在写入文件)。所有者将保持读取,写入和组只读。
要获得更具体的答案,您的问题可能需要更具体。 首先让我们知道您正在运行的操作系统和版本。
我build议提供对Logstash或Splunk等服务的访问,而不是提供对计算机和文件的访问。 这比给予系统权限要好得多,并且可以让你利用工具本身的大量实用工具。