[vz-users] Änderungen an der vzlogger.conf und 50-server.cnf werden nicht dauerhaft übernommen - VZLogger läuft nicht mehr

[Marc Haber]

On Sun, Jan 09, 2022 at 02:18:05PM +0100, Daniel Lauckner wrote:
> am Sonntag, 9. Januar 2022 um 14:06 hat Marc Haber geschrieben:
> > On Sun, Jan 09, 2022 at 02:00:44PM +0100, Daniel Lauckner wrote:
> >> Alternativer Ansatz wäre die systemd-Konfiguration zu erweitern:
> >> ExecStartPre=/bin/chmod 770 /var/log
> 
> > Das ist aus Sicht der Distribution ein ganz böses Foul. Das Verzeichnis
> > "gehört" Euch nicht.
> 
> Es gibt keine Gruppen die Logs anlegen dürfen? Versteh ich nicht...
> Gruppe root wollte ich ihm nicht geben, das untergräbt den Zweck der Übung.

Deswegen meine Empfehlung, für Applikationen, die nicht als root laufen,
in ein eigenes Verzeichnis zu loggen. /var/log/foo kann dann dem
passenden user gehören und der kann dann loggen wir er lustig ist.

Bei vzlogger kommt dazu dass die Anleitungen die Benutzer mal dazu
aufordern, den Daemon auf der normalen Kommandozeile zu starten und als
nächstes wieder als Daemon, das macht natürlich Chaos mit Log- und
Dumpdateien. Gäbe es ein vzlogger:vzlogger 755 oder vzlogger:adm 755
/var/log/vzlogger, würde ein als normaler User gestarteter vzlogger
sofort aus dem fenster springen weil er sein Log nicht öffnen kann. Das
würde vielleicht auch das Chaos reduzieren. Bei vielen anderen Daemons
ist es so, dass man sie als root startet und sie erst forken, dann Dinge
als root tun (z.B. ports < 1024 binden) und dann die root-rechte fallen
lassen und als normaler User weiterlaufen. Das muss der vzlogger aber
nicht, weil der keine Aufgabe hat für die es unbedingt root braucht, das
kann man alles über geeignete Dateisytemrechte lösen.

Zumindest auf Debian ist /var/log definiert als root:root 755, und es
loggen dort nur Prozesse hin, die als root laufen (oder via syslog
loggen, das wäre vielleicht auch eine methode für vzlogger...)
Zusätzlich gibt es die Vereinbarung, dass vertrauchliche logs, die nicht
world readable sind, für die gruppe adm lesbar zu machen, damit die
Administratoren nicht jedes Mal root werden müssen.

In der Red Hat Welt sind die Permissions auf Logs tendenziell schärfer,
da bin ich viel mehr als root am rumturnen als in Debian. Da weiß
ich aber zu wenig über die Policies um das erklären zu können.

Ich kann da gerne weiter helfen, fragt gerne. Uns allen ist geholfen
wenn sich der vzlogger eher wie ein "normaler" Daemon verhält und im
System nicht so viele Sonderlocken braucht.

Grüße
Marc

-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Leimen, Germany    |  lose things."    Winona Ryder | Fon: *49 6224 1600402
Nordisch by Nature |  How to make an American Quilt | Fax: *49 6224 1600421