El Tue, 05 Apr 2011 15:13:17 +0200, AngelD escribió:
Tue, 5 Apr 2011, AngelD:
Ando intentando que los logs de apache se generen con un usuario
concreto, en vez de como root. Para ello intento cambiar la línea que
me genera el log:
(...)
¿Hay alguna forma razonable de realizar esta tarea?, ¿es posible
realizar lo que quiero?.
Hum... en la documentación de Apache lo explican:
http://httpd.apache.org/docs/2.2/en/logs.html#piped
"(...) Piped log processes are spawned by the parent Apache httpd
process, and inherit the userid of that process. This means that piped
log programs usually run as root. It is therefore very important to keep
the programs simple and secure."
Me pregunto si es conveniente permitir que otro usuario ejecute el
binario "rotatelogs" ¿no se romperá nada? O:-?
Parece que si que hay una forma. Se puede utilizar el parámetro
"--session-command=" del su, que evita crear una nueva sesión para
ejecutar un comando. Al final la línea queda algo así:
CustomLog "|/bin/su apache --session-command=\"/usr/sbin/rotatelogs
/var/log/apache/access_%Y-%m-%d.log 50M\"" common
Seguro que hay más soluciones, que me gustará escuchar, pero esta
funciona. :-)
Me ha parecido ver algún programita por la web (managelogs¹) con más
opciones que el "rotatelogs", entre ellas la de permitir la creación de
los archivos de registro con un usuario/grupo/modo determinado (supongo
que lo hará por medio del "setuid") pero no lo veo disponible en los
repos de Debian.
¹ http://www.tekwire.net/joomla/projects/managelogs/intro