如果您告诉 Apache 使用 CustomLog 文件,Apache2 将在启动时创建这些文件。它总是将它们提供给用户 root:root。我怎样才能改变这种行为?
背景
阿帕奇运行与
SuexecUserGroup www-data www-data
同时,我使用 CustomLog 将其输出通过管道传输到脚本。该脚本从 IP 中删除两个字节,然后写入日志文件。由于您无法告诉 Apache 从 error.log 中省略 IP,因此此管道输出很重要(关于德国隐私法)。
如果这不属于www-data,则脚本无法访问我的自定义日志。
如果我更改所有者,一切正常。
我也知道如何在logrotate重命名并重新创建日志文件时更改文件所有者。
但是,如果我停止 Apache 进程,删除日志文件,然后重新启动 Apache 进程,则会创建属于 root:root 的新文件。
我如何告诉 Apache 在启动时为www-data创建新的无效文件?
这个句子:
与http://httpd.apache.org/docs/current/logs.html#piped直接矛盾:
如果您描述的场景在某种程度上是正确的,您仍然可以通过以下方式回避问题
我遇到了同样的问题,但无法更改写入日志的脚本,我可以更改解释它的脚本。
设置:
root:root而不是www-data:www-data. 这是因为 OPs 问题中提到的情况。www-data) 身份在日志文件上运行分析脚本,但它无法读取文件。我从 roots crontab 做这个作为 cronroot)命令chown www-data:www-data /var/log/apache2/*.log。这会按预期更改日志文件(但不是父目录)的所有权,www-data然后分析脚本可以读取该文件。这不是最好的解决方案,也绝对不是您在繁忙的服务器上想要的解决方案,但在小型安装上它已经足够好了。
gpjod 提到这可能是一个安全问题。Apache 文档说日志目录对其他人不应该是可写的。
这是正确的,但对于解决 OP 问题的所有情况很可能都是正确的,您可能需要阅读链接文档中的安全提示。在这个特定的实例中,所有权从 更改
root为www-data预期的样子(请参阅原始问题),我看不到我的解决方案会产生额外的线程。