https://89.19.215.112/openforum/vsluhforumID13/876.html Добрый день.<br><br>Подскажите, пожалуйста, как решить следующую задачу:<br>Необходимо дать перманентный доступ на чтение, логов из папки /var/audit, для определенного пользователя.<br>Проблема в том, что если дать команду:<br><br>chown -R root:USER /var/audit<br>chmod -R g+r /var/audit<br><br>После подачи команды: audit -n<br>Либо после перезапуска службы: svcadm disable auditd<br>Либо после перезагрузки ОС<br><br>Права на доступ к логу "/var/audit/*not_terminated*" остаются только у привилегированного пользователя!<br><br>-bash-3.2# ls -l /var/audit/<br>total 1290<br>-rw-r-x--- 1 root USER 579355 Mar 3 14:48 20140303080818.20140303084821.unknown<br>-rw------- 1 root USER 488 Mar 3 15:30 20140303084825.20140303093002.unknown<br>-rw------- 1 root root 1291 Mar 3 15:36 20140303093006.not_terminated.unknown<br>-bash-3.2#<br><br>Заранее благодарю за ответ!<br><br>Данные о системе:<br>-bash-3.2# cat /etc/release<br> Oracle Solaris 10 1/13 s10x_u11wos_24a X86<br> Copyright (c) 1983, 2013, Oracle and/or its https://89.19.215.112/openforum/vsluhforumID13/876.html#6 Fri, 28 Mar 2014 09:07:50 GMT Возможно, кому-то пригодится, решил задачу следующим образом:<br>zfs create rpool/audit<br>zfs set aclinherit=passthrough rpool/audit<br>zfs set aclmode=passthrough rpool/audit<br>chmod A+group:USER:rwxpdDaARWcCos:fd:allow /rpool/audit<br>chown root:USER /rpool/audit<br>chmod 750 /rpool/audit<br>vi /etc/security/audit_control<br>#dir:/var/audit<br>dir:/rpool/audit<br> https://89.19.215.112/openforum/vsluhforumID13/876.html#5 Thu, 13 Mar 2014 04:53:28 GMT &gt; exSun, как Вы думаете, если изменит для службы "auditd" группу запуска: <br>&gt; &lt;method_credential user='root' group='USER' /&gt; <br>&gt; Это может отразится на ее работе?<br>&gt; Другими словами служба будет запускаться от имени суперпользователя, но в группе USER. <br>&gt; Понимаю что мне это не поможет так как файлы создаются с маской <br>&gt; "0600", спрашиваю на будущее.<br><br>Попробуйте, я не знаю. <br> https://89.19.215.112/openforum/vsluhforumID13/876.html#4 Wed, 12 Mar 2014 12:08:50 GMT exSun, как Вы думаете, если изменит для службы "auditd" группу запуска:<br>&lt;method_credential user='root' group='USER' /&gt;<br>Это может отразится на ее работе?<br>Другими словами служба будет запускаться от имени суперпользователя, но в группе USER.<br>Понимаю что мне это не поможет так как файлы создаются с маской "0600", спрашиваю на будущее.<br> https://89.19.215.112/openforum/vsluhforumID13/876.html#3 Wed, 12 Mar 2014 08:47:12 GMT &gt; Данная логика работы, службы Аудита, жестко запрограммирована, для того чтобы что-то изменить <br>&gt; необходимо исправить программный код, и перекомпилировать исходные файлы.<br><br>Да, необходимы исходные тексты Solaris 10 вашей версии, среда для сборки и т.д. Также можно рассмотреть вариант миграции на Solaris 11, в котором также присутствуют изменения, которые внесены в OpenSolaris (создание логов с правами 0640), или же на опенсорсные дистрибутивы на основе Illumos (SmartOS, OmniOS и т.д.) - так можно даже самому править что-то по мелочи, если надо.<br><br>&gt; exSun, подскажите еще, пожалуйста, как я понимаю, любая служба SMF выполняется от <br>&gt; имени определенного пользователя, возможно ли повлиять от имени какого пользователя запускается <br>&gt; служба? И соответственно существует ли такое понятие, что сервис запускается как <br>&gt; от определенного пользователя, так и от имени определенной группы и возможно <br>&gt; ли поменять эту группу? Или я ошибаюсь?<br><br>Возможно, но конкретно auditd должен работать от рута (иначе он не буде https://89.19.215.112/openforum/vsluhforumID13/876.html#2 Wed, 12 Mar 2014 08:07:54 GMT Спасибо, exSun!<br><br>Скажите, пожалуйста, правильно ли я понял?<br><br>Данная логика работы, службы Аудита, жестко запрограммирована, для того чтобы что-то изменить необходимо исправить программный код, и перекомпилировать исходные файлы.<br><br>exSun, подскажите еще, пожалуйста, как я понимаю, любая служба SMF выполняется от имени определенного пользователя, возможно ли повлиять от имени какого пользователя запускается служба? И соответственно существует ли такое понятие, что сервис запускается как от определенного пользователя, так и от имени определенной группы и возможно ли поменять эту группу? Или я ошибаюсь? <br> https://89.19.215.112/openforum/vsluhforumID13/876.html#1 Fri, 07 Mar 2014 14:02:00 GMT Там захардкодено вот так:<br><br>newfd = open(newname, O_RDWR &#124; O_APPEND &#124; O_CREAT &#124; O_EXCL, 0600);<br><br>, т.ч. сходу предложить вариант не могу (ACL-и тоже не помогут, как мне кажется). Кстати, в опенсолярисе и дальше файл создаётся с правами 0640 - см. http://src.illumos.org/source/xref/illumos-gate/usr/src/lib/auditd_plugins/binfile/binfile.c#505 <br>