Início / unix / Perguntas / 510358
Accepted
Stewart
Asked: 2019-04-04 12:36:59 +0800 CST

Como permitir que um grupo específico tenha acesso de leitura ao diário do systemd?

  • 772

Como concedo permissão somente somegroupleitura para ler o diário do sistema? (Estou no Debian10 buster). 

$ journalctl  
Hint: You are currently not seeing messages from other users and the system.
      Users in the 'systemd-journal' group can see all messages. Pass -q to
      turn off this notice.
No journal files were opened due to insufficient permissions.

Eu sei que posso adicionar um usuário ao systemd-journalgrupo, mas como dou permissão de leitura a um grupo?

debian systemd

1 respostas

  1. Best Answer

    tl; dr

    Crie o seguinte arquivo:

    # /etc/tmpfiles.d/somegroup_journal.conf
#Type  Path                           Mode User Group Age Argument
a+     /run/log/journal               -    -    -     -   d:group:somegroup:r-x
a+     /run/log/journal               -    -    -     -   group:somegroup:r-x
a+     /run/log/journal/%m            -    -    -     -   d:group:somegroup:r-x
a+     /run/log/journal/%m            -    -    -     -   group:somegroup:r-x
a+     /run/log/journal/%m/*.journal* -    -    -     -   d:group:somegroup:r--
a+     /run/log/journal/%m/*.journal* -    -    -     -   group:somegroup:r--

    Como descobrir:

    man systemd-journald.service(8) tem o seguinte:

    Usuários e grupos adicionais podem ter acesso a arquivos de diário por meio de listas de controle de acesso (ACL) do sistema de arquivos. Distribuições e administradores podem optar por conceder acesso de leitura a todos os membros dos grupos de sistema "wheel" e "adm" com um comando como o seguinte:

    # setfacl -Rnm g:wheel:rx,d:g:wheel:rx,g:adm:rx,d:g:adm:rx /var/log/journal/

    Embora isso pareça perfeito, o exemplo toca /var/log/journal/, mas journalctl prioriza /run/log/journal/conforme demonstrado pela seguinte fonte :

    if (laccess("/run/log/journal", F_OK) >= 0)
        dir = "/run/log/journal";
else
        dir = "/var/log/journal";

/* If we are in any of the groups listed in the journal ACLs,
 * then all is good, too. Let's enumerate all groups from the
 * default ACL of the directory, which generally should allow
 * access to most journal files too. */
r = acl_search_groups(dir, &g);

    /runé montado como tmpfs, portanto, a seguinte regra de ACL provavelmente não persistiria:

    # setfacl -Rnm g:somegroup:rx,d:g:somegroup:rx /run/log/journal/

    Para fazer isso persistir, configure o que for usado para gerar/run/log/journal . Navegando em mais algumas fontes , encontramos tmpfiles.d/systemd.conf.m4:

    z /run/log/journal 2755 root systemd-journal - -
Z /run/log/journal/%m ~2750 systemd-journal - -
m4_ifdef(`HAVE_ACL',`
a+ /run/log/journal/%m - - - - d:group:adm:r-x
a+ /run/log/journal/%m - - - - group:adm:r-x
a+ /run/log/journal/%m/*.journal* - - - - d:group:adm:r--
')'m4_dnl

    Isso sugere que as regras de ACL precisam ser adicionadas no tmpfiles.d. A versão compilada do arquivo acima é encontrada localmente em /usr/lib/tmpfiles.d/systemd.conf. A combinação desse exemplo com man tmpfiles.d(5) fornece alguns detalhes para ajudar a criar uma solução funcional.

    Crie o seguinte arquivo:

    # /etc/tmpfiles.d/somegroup_journal.conf
#Type  Path                           Mode User Group Age Argument
a+     /run/log/journal               -    -    -     -   d:group:somegroup:r-x
a+     /run/log/journal               -    -    -     -   group:somegroup:r-x
a+     /run/log/journal/%m            -    -    -     -   d:group:somegroup:r-x
a+     /run/log/journal/%m            -    -    -     -   group:somegroup:r-x
a+     /run/log/journal/%m/*.journal* -    -    -     -   d:group:somegroup:r--
a+     /run/log/journal/%m/*.journal* -    -    -     -   group:somegroup:r--

    Um teste rápido e reinicialização confirma que isso funciona!

    • 8

relate perguntas