Re: (deb-cat) Permisos amb journalctl
El 30/08/17 a les 17:54, Alex Muntada ha escrit:
> Narcis Garcia:
>
>> Com s'administra això amb Systemd una vegada el sistema està
>> instal·lat?
>> ...
>> És que, com a usuari normal, comprovo que journalctl m'ho deixa
>> veure tot.
>
> Si executo journalctl en un shell amb el meu usuari diu això
> (però no mostra cap missatge de log):
>
> ```
> Hint: You are currently not seeing messages from other users and the system.
> Users in the 'systemd-journal' group can see all messages. Pass -q to
> turn off this notice.
> No journal files were opened due to insufficient permissions.
> ```
>
>> Com ho fan l'empaquetador i el desenvolupador d'un servei per
>> establir els permisos de cada bitàcola?
>
> Al fitxer debian/postinst. Per exemple, pots veure com ho fan pel
> paquet d'apache2:
>
> ```
> dget apache2
> dpkg -e apache2_2.4.25-3+deb9u2_amd64.deb ./debian
> grep chown ./debian/postinst
> ```
>
> Salut,
> Alex
>
Ara no estic segur de si m'ho va deixar veure tot un ordinador amb
Ubuntu 16.04 (que ara no tinc a mà). El què ara he provat sembla anar al
revés: més seguretat per defecte;
Ara he provat amb una Debian 8, sense Apache però amb una bitàcola semblant:
/var/log/auth.log
(ja és propietat de root:adm i permisos -rw-r-----)
Jo, com a membre del grup «adm», puc consultar el contingut del fitxer,
(que conté entrades de sshd), però «journalctl -u ssh» no em mostra res
a menys que actui com a «root».
En aquest cas veig que el «postinst» del paquet openssh-server no
estableix permisos.
També ho he provat amb exim4 (concretament el postinst del paquet
exim4-base estableix que el grup «adm» pot llegir les bitàcoles), i amb
el mateix efecte en aquesta Debian: root llegeix tot, qualsevol altre no
llegeix res amb journalctl.
En definitiva, no crec que els empaquetadors estiguin aconseguint
establir permisos efectius.
Reply to: