Re: [OT][Solucionado] Cambiar el usuario de los logs en apache
El Tue, 05 Apr 2011 15:13:17 +0200, AngelD escribió:
> Tue, 5 Apr 2011, AngelD:
>
>> Ando intentando que los logs de apache se generen con un usuario
>> concreto, en vez de como root. Para ello intento cambiar la línea que
>> me genera el log:
(...)
>> ¿Hay alguna forma razonable de realizar esta tarea?, ¿es posible
>> realizar lo que quiero?.
Hum... en la documentación de Apache lo explican:
http://httpd.apache.org/docs/2.2/en/logs.html#piped
"(...) Piped log processes are spawned by the parent Apache httpd
process, and inherit the userid of that process. This means that piped
log programs usually run as root. It is therefore very important to keep
the programs simple and secure."
Me pregunto si es conveniente permitir que otro usuario ejecute el
binario "rotatelogs" ¿no se romperá nada? O:-?
> Parece que si que hay una forma. Se puede utilizar el parámetro
> "--session-command=" del su, que evita crear una nueva sesión para
> ejecutar un comando. Al final la línea queda algo así:
>
> CustomLog "|/bin/su apache --session-command=\"/usr/sbin/rotatelogs
> /var/log/apache/access_%Y-%m-%d.log 50M\"" common
>
> Seguro que hay más soluciones, que me gustará escuchar, pero esta
> funciona. :-)
Me ha parecido ver algún programita por la web (managelogs¹) con más
opciones que el "rotatelogs", entre ellas la de permitir la creación de
los archivos de registro con un usuario/grupo/modo determinado (supongo
que lo hará por medio del "setuid") pero no lo veo disponible en los
repos de Debian.
¹ http://www.tekwire.net/joomla/projects/managelogs/intro
Saludos,
--
Camaleón
Reply to: