如何安全地允许Bob读取/ var/log /中的某个文件？

这是我的第一个问题在这里。如何安全地允许Bob读取/ var/log /中的某个文件？

我正在使用Centos服务器。

我想知道如何允许propre一个非sudoer用户（我们称之为Bob）读取/ var/log中的特定文件。我希望能够阅读一些日志，而不需要root，也不需要对日志文件进行任何修改。

目前，

我创建了一个群名为“记录仪”
我说鲍勃组
我为我想与鲍勃
读取文件chgrp命令我将文件权限从600更改为640.

有没有更好的（安全）方法来做同样的事情？

2016-07-23 Amine Maddah

我在这里回答了一个类似的问题http://serverfault.com/questions/258827/what-is-the-most-secure-way-to-allow-a-user-read-access-to-a-log -file/780226＃780226 –

如果你对一个特殊的群体感到满意，那么就是这样做的。另一种方法是使用ACL，这是标准的UNIX权限的附加。你会你的日志文件恢复到原来的UNIX权限，然后允许鲍勃喜欢的东西

setfacl -m user:Bob:r-- /var/log/mylogfile.log

有些情况下，ACL是不利的，特别是当你有文件备份/迁移跨服务器或文件系统。但是，情况并非如此。

来源

2016-07-23 23:25:09

它们可以是，但在跨计算机迁移文件时不那么直接，因为操作系统知道ACL数据，但不知道文件。例如，将目录设为目标将不会保留它的ACL。解决方案是在移动文件之前导出ACL权限，然后将它们重新加载到目标机器上（并且有这样的简单方法）。没有什么大不了的，如果一切都是自动的，就像在备份场景中那样，但还有一件事需要牢记 –

好的，谢谢加文！ –

如何安全地允许Bob读取/ var/log /中的某个文件？

回答

相关问题