форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Оптимизация и Промышленные системы (Solaris)
Изначальное сообщение		[ Отслеживать ]

"Перманентный доступ на чтение логов Аудита"	+/–
Сообщение от Dionis80 (ok) on 03-Мрт-14, 13:47
Добрый день. Подскажите, пожалуйста, как решить следующую задачу: Необходимо дать перманентный доступ на чтение, логов из папки /var/audit, для определенного пользователя. Проблема в том, что если дать команду: chown -R root:USER /var/audit chmod -R g+r /var/audit После подачи команды: audit -n Либо после перезапуска службы: svcadm disable auditd Либо после перезагрузки ОС Права на доступ к логу "/var/audit/*not_terminated*" остаются только у привилегированного пользователя! -bash-3.2# ls -l /var/audit/ total 1290 -rw-r-x---   1 root     USER      579355 Mar  3 14:48 20140303080818.20140303084821.unknown -rw-------   1 root     USER         488 Mar  3 15:30 20140303084825.20140303093002.unknown -rw-------   1 root     root        1291 Mar  3 15:36 20140303093006.not_terminated.unknown -bash-3.2# Заранее благодарю за ответ! Данные о системе: -bash-3.2# cat /etc/release                     Oracle Solaris 10 1/13 s10x_u11wos_24a X86   Copyright (c) 1983, 2013, Oracle and/or its affiliates. All rights reserved.                             Assembled 17 January 2013 -bash-3.2#
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Перманентный доступ на чтение логов Аудита"	+/–
Сообщение от exSun on 07-Мрт-14, 18:02
Там захардкодено вот так: newfd = open(newname, O_RDWR | O_APPEND | O_CREAT | O_EXCL, 0600); , т.ч. сходу предложить вариант не могу (ACL-и тоже не помогут, как мне кажется). Кстати, в опенсолярисе и дальше файл создаётся с правами 0640 - см. http://src.illumos.org/source/xref/illumos-gate/usr/src/lib/...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Перманентный доступ на чтение логов Аудита"	+/–
	Сообщение от Dionis80 (ok) on 12-Мрт-14, 12:07
	Спасибо, exSun! Скажите, пожалуйста, правильно ли я понял? Данная логика работы, службы Аудита, жестко запрограммирована, для того чтобы что-то изменить необходимо исправить программный код, и перекомпилировать исходные файлы. exSun, подскажите еще, пожалуйста, как я понимаю, любая служба SMF выполняется от имени определенного пользователя, возможно ли повлиять от имени какого пользователя запускается служба? И соответственно существует ли такое понятие, что сервис запускается как от определенного пользователя, так и от имени определенной группы и возможно ли поменять эту группу? Или я ошибаюсь?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Перманентный доступ на чтение логов Аудита"	+/–
	Сообщение от exSun on 12-Мрт-14, 12:47
	> Данная логика работы, службы Аудита, жестко запрограммирована, для того чтобы что-то изменить > необходимо исправить программный код, и перекомпилировать исходные файлы. Да, необходимы исходные тексты Solaris 10 вашей версии, среда для сборки и т.д. Также можно рассмотреть вариант миграции на Solaris 11, в котором также присутствуют изменения, которые внесены в OpenSolaris (создание логов с правами 0640), или же на опенсорсные дистрибутивы на основе Illumos (SmartOS, OmniOS и т.д.) - так можно даже самому править что-то по мелочи, если надо. > exSun, подскажите еще, пожалуйста, как я понимаю, любая служба SMF выполняется от > имени определенного пользователя, возможно ли повлиять от имени какого пользователя запускается > служба? И соответственно существует ли такое понятие, что сервис запускается как > от определенного пользователя, так и от имени определенной группы и возможно > ли поменять эту группу? Или я ошибаюсь? Возможно, но конкретно auditd должен работать от рута (иначе он не будет работать вовсе). От имени пользователя выполняется exec_method за счёт задания method_credential, например:         <exec_method             type='method'             name='start'             exec='/path/to/some/binary'             timeout_seconds='600'>         <method_context>           <method_credential             user='user1'             group='group1'/>           <method_environment>                 <envvar name='LD_LIBRARY_PATH' value='/path/to/non/standard/lib'/>           </method_environment>         </method_context>         </exec_method>
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Перманентный доступ на чтение логов Аудита"	+/–
	Сообщение от Dionis80 (ok) on 12-Мрт-14, 16:08
	exSun, как Вы думаете, если изменит для службы "auditd" группу запуска: <method_credential user='root' group='USER' /> Это может отразится на ее работе? Другими словами служба будет запускаться от имени суперпользователя, но в группе USER. Понимаю что мне это не поможет так как файлы создаются с маской "0600", спрашиваю на будущее.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Перманентный доступ на чтение логов Аудита"	+/–
	Сообщение от exSun on 13-Мрт-14, 08:53
	> exSun, как Вы думаете, если изменит для службы "auditd" группу запуска: > <method_credential user='root' group='USER' /> > Это может отразится на ее работе? > Другими словами служба будет запускаться от имени суперпользователя, но в группе USER. > Понимаю что мне это не поможет так как файлы создаются с маской > "0600", спрашиваю на будущее. Попробуйте, я не знаю.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Перманентный доступ на чтение логов Аудита"	+/–
	Сообщение от Dionis80 (ok) on 28-Мрт-14, 13:07
	Возможно, кому-то пригодится, решил задачу следующим образом: zfs create rpool/audit zfs set aclinherit=passthrough rpool/audit zfs set aclmode=passthrough rpool/audit chmod A+group:USER:rwxpdDaARWcCos:fd:allow /rpool/audit chown root:USER /rpool/audit chmod 750 /rpool/audit vi /etc/security/audit_control #dir:/var/audit dir:/rpool/audit
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема