GRUB 配置以识别同一 Linux 发行版的不同桌面环境（安装）

Question

Stewart

Asked: 2019-04-04 12:36:59 +0800 CST2019-04-04 12:36:59 +0800 CST 2019-04-04 12:36:59 +0800 CST

如何让特定组具有对 systemd 日志的读取权限？

772

如何授予阅读somegroup系统日志的只读权限？（我在 Debian10 buster 上）。

$ journalctl  
Hint: You are currently not seeing messages from other users and the system.
      Users in the 'systemd-journal' group can see all messages. Pass -q to
      turn off this notice.
No journal files were opened due to insufficient permissions.

我知道我可以将用户添加到systemd-journal组中，但是如何授予组读取权限？

1 个回答

Voted

Stewart · Answer 1 · 2019-04-04T12:36:59+08:00

tl;博士

创建以下文件：

# /etc/tmpfiles.d/somegroup_journal.conf
#Type  Path                           Mode User Group Age Argument
a+     /run/log/journal               -    -    -     -   d:group:somegroup:r-x
a+     /run/log/journal               -    -    -     -   group:somegroup:r-x
a+     /run/log/journal/%m            -    -    -     -   d:group:somegroup:r-x
a+     /run/log/journal/%m            -    -    -     -   group:somegroup:r-x
a+     /run/log/journal/%m/*.journal* -    -    -     -   d:group:somegroup:r--
a+     /run/log/journal/%m/*.journal* -    -    -     -   group:somegroup:r--

如何弄清楚：

man systemd-journald.service(8)具有以下内容：

可以通过文件系统访问控制列表 (ACL) 授予其他用户和组访问日志文件的权限。发行版和管理员可以选择使用如下命令授予“wheel”和“adm”系统组的所有成员读取权限：
# setfacl -Rnm g:wheel:rx,d:g:wheel:rx,g:adm:rx,d:g:adm:rx /var/log/journal/

虽然这听起来很完美，但该示例涉及到/var/log/journal/，但journalctl优先级/run/log/journal/如下所示：

if (laccess("/run/log/journal", F_OK) >= 0)
        dir = "/run/log/journal";
else
        dir = "/var/log/journal";

/* If we are in any of the groups listed in the journal ACLs,
 * then all is good, too. Let's enumerate all groups from the
 * default ACL of the directory, which generally should allow
 * access to most journal files too. */
r = acl_search_groups(dir, &g);

/run挂载为tmpfs，因此以下 ACL 规则可能不会持续存在：

# setfacl -Rnm g:somegroup:rx,d:g:somegroup:rx /run/log/journal/

要使这种情况持续存在，请配置用于生成的任何内容/run/log/journal。浏览更多来源，我们发现tmpfiles.d/systemd.conf.m4：

z /run/log/journal 2755 root systemd-journal - -
Z /run/log/journal/%m ~2750 systemd-journal - -
m4_ifdef(`HAVE_ACL',`
a+ /run/log/journal/%m - - - - d:group:adm:r-x
a+ /run/log/journal/%m - - - - group:adm:r-x
a+ /run/log/journal/%m/*.journal* - - - - d:group:adm:r--
')'m4_dnl

这表明需要在tmpfiles.d. 上述文件的编译版本可在本地找到/usr/lib/tmpfiles.d/systemd.conf。将该示例与 man tmpfiles.d(5)相结合，提供了一些有助于创建有效解决方案的详细信息。

创建以下文件：

# /etc/tmpfiles.d/somegroup_journal.conf
#Type  Path                           Mode User Group Age Argument
a+     /run/log/journal               -    -    -     -   d:group:somegroup:r-x
a+     /run/log/journal               -    -    -     -   group:somegroup:r-x
a+     /run/log/journal/%m            -    -    -     -   d:group:somegroup:r-x
a+     /run/log/journal/%m            -    -    -     -   group:somegroup:r-x
a+     /run/log/journal/%m/*.journal* -    -    -     -   d:group:somegroup:r--
a+     /run/log/journal/%m/*.journal* -    -    -     -   group:somegroup:r--

快速测试加上重新启动确认这是有效的！

如何让特定组具有对 systemd 日志的读取权限？

tl;博士

如何弄清楚：

模块 i915 可能缺少固件 /lib/firmware/i915/*

无法获取 jessie backports 存储库

如何将 GPG 私钥和公钥导出到文件

我们如何运行存储在变量中的命令？

如何配置 systemd-resolved 和 systemd-networkd 以使用本地 DNS 服务器来解析本地域和远程 DNS 服务器来解析远程域？

dist-upgrade 后 Kali Linux 中的 apt-get update 错误 [重复]

如何从 systemctl 服务日志中查看最新的 x 行

Nano - 跳转到文件末尾

grub 错误：你需要先加载内核

如何下载软件包而不是使用 apt-get 命令安装它？

如何让特定组具有对 systemd 日志的读取权限？

1 个回答

tl;博士

如何弄清楚：

相关问题