dostęp do dzienników dla użytkowników innych niż root

12

Dokumentacja dziennika mówi, że dodanie użytkownika do grupy „systemd-journal” lub grupy „adm” umożliwia użytkownikowi dostęp do ogólnosystemowego dziennika.

Korzystam z najnowszego CentOS 7 i wydaje mi się, że mam problem z dostępem do dziennika jako użytkownik inny niż root.

Oto moja konfiguracja:

$ id
uid=1000(centos) gid=1000(centos) groups=1000(centos),4(adm),10(wheel),190(systemd-journal) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

$ cat /etc/systemd/journald.conf
[Journal]
Storage=persistent

$ journalctl
-- Logs begin at Sat 2015-08-29 16:35:52 UTC, end at Sat 2015-08-29 17:28:47 UTC. --
Aug 29 16:35:52 hostname ... <log continues>

W dzienniku dziennika nie ma dzienników systemowych. Oto moja konfiguracja uprawnień:

$ ll -a /var/log/journal/f9afeb75a5a382dce8269887a67fbf58/
total 24592
drwxr-xr-x. 2 root root     4096 Aug 29 16:35 .
drwxr-xr-x. 3 root root     4096 Aug 29 17:28 ..
-rw-r-----. 1 root root 16777216 Aug 29 17:27 system.journal
-rw-r-----+ 1 root root  8388608 Aug 29 17:33 user-1000.journal

Jeśli zmienię grupę własności system.journalna systemd-journalwszystko, wszystko działa dobrze. Nie wydaje się to jednak słuszne, ponieważ dokumentacja nic na ten temat nie mówi.

Czy czegoś mi brakuje lub czy rzeczywiście jest wymagana ręczna zmiana grupy system.journalplików?

Dziękuję Ci

michal kralik
źródło

Odpowiedzi:

6

Rozwiązaniem jest zmiana własności grupy i dodanie lepkiego bitu do folderu nadrzędnego przed utworzeniem .journalplików.

chown :systemd-journal /var/log/journal/f9afeb75a5a382dce8269887a67fbf58
chmod g+s /var/log/journal/f9afeb75a5a382dce8269887a67fbf58
michal kralik
źródło
To journalctldziała dla mnie, ale nie widzi całej wiadomości, którą root może zobaczyć ...
Gert van den Berg
@GertvandenBerg spróbuj sprawdzić, czy istniejące pliki można odczytać systemd-journal. Opublikowane tutaj polecenia sprawiły, że tylko nowe pliki są czytelne, a nie istniejące.
michal kralik
W konfiguracji Ubuntu zezwolenie było poprawne ... Dane wyjściowe dziennika jako root zawierają wszystkie usługi, podczas gdy wydaje się, że normalny użytkownik w grupie dzienników systemd może wyświetlać tylko komunikaty związane z ładowaniem .... (Ale to może były powiązane z tym, że nie logowałem się ponownie, aby zalogować się do nowej grupy - teraz wygląda dobrze ...)
Gert van den Berg