Puis-je changer en toute sécurité la propriété du groupe /var/log/auth.log?

Question

Je suis l'administrateur Splunk qui travaille avec un système Ubuntu 12.04 LTS et je souhaite collecter des événements à partir de /var/log/auth.log.

-rw-r----- 1 root adm 16534643 Jan 8 09:49 /var/log/auth.log

Splunk fonctionne comme un utilisateur normal, splunk.

$ id splunk uid=1984(splunk) gid=1984(splunk) groups=1984(splunk)

Normalement, j'utilisais cette commande pour que le groupe de fichiers soit lisible par le groupe de fractionnement.

$ chgrp splunk /var/log/auth.log -rw-r----- 1 root splunk 16534643 Jan 8 09:49 /var/log/auth.log

Cela fonctionne bien sur d’autres distributions Linux et je suppose que cela convient également à Ubuntu. Mais je veux demander, est-ce que cogner la adm me causera des maux de tête (en fait, l’autre groupe qui possède la boîte) à l’avenir? Je ne suis pas un utilisateur privilégié sur le système, je ne peux donc pas vérifier des éléments tels que/var/log/cron/adm ou mail pour le compte adm. Je suppose également que logrotate honorera le nouveau propriétaire du groupe pour les nouveaux fichiers.

(Avant de vous demander, l'accès à l'index de fractionnement pour auth.log est limité à un nombre limité de personnes.)

IAmJeff · Accepted Answer

Suivi: Étant donné que personne n’a jamais expliqué pourquoi l’adhésion du groupe "adm" était importante, j’ai changé la propriété du groupe en "splunk".

Après 6 mois, aucun problème n'a été remarqué. J'ai décidé de ne pas donner à l'utilisateur splunk des privilèges de groupe supplémentaires en l'ajoutant au groupe "adm". Je me suis dit que je pouvais donner au compte adm le privilège supplémentaire d’être membre du groupe "splunk", si nécessaire.

Michael Felt · Answer

le groupe adm peut être important SI un outil de sécurité tel qu'AppArmor (voir https://wiki.ubuntu.com/AppArmor ) est utilisé pour une sécurité supplémentaire.

Je mentionne cela uniquement parce que j'ai rencontré des problèmes étranges (échecs d'accès) lors de la configuration de bind sur ubuntu et de l'utilisation de différents répertoires. En d'autres termes, bind a refusé de travailler avec des modifications qui avaient un sens pour moi, mais n'étaient pas les valeurs par défaut d'AppArmor. Comme je ne voulais pas reconfigurer AppArmor, je suis retourné à ses paramètres par défaut - et à Sudo su lorsque je dois apporter des modifications. Cela ne pose pas de problème pour un système à utilisateur unique, mais je ne voudrais pas que ce soit ainsi dans un système de production.

Enfin, le groupe adm peut être important si vous êtes audité - c’est-à-dire qu'un auditeur peut considérer cela comme une atteinte à l'intégrité du système s'il ne fait pas partie du groupe adm. Une façon de "passer" avec vous est d'utiliser les ACL (listes de contrôle d'accès) - voir https://help.ubuntu.com/community/FilePermissions#ACL_.28Access_Control_List.29 pour plus d'informations. sur ça.