プログラミング・コーディングのサムネイル画像



メールログを監視してbouncedとなったメールアドレスに対して何らかの処理を行うということをしたいのだけど、ログの解析は何とかなるとしてもそもそもメールログが読み込めない。考えてみれば当然のことで、メールログって基本的にroot権限なんですよね。そして600。

$ stat /var/log/maillog
Access: (0600/-rw-------)  Uid: (    0/    root)   Gid: (    0/    root)

このままだと不便なのでログインユーザーでメールログを読めるようにしたい。ただセキュリティ的な意味で誰でも読めるみたいなことにはしたくないので、ちょっとひねって、グループで管理することにしてみました。やってみた手順はこんな感じ。


  1. ログ閲覧ユーザー専用のグループを作成する

    # groupadd logadmin
  2. ログインユーザーをログ閲覧ユーザー専用グループに追加する
    # usermod -a -G logadmin vagrant
  3. メールログのパーミッションとグループを変更する

    # chmod 640 /var/log/maillog
    # chgrp logadmin /var/log/maillog

  4. ログローテーションの設定を変更する
    # vi /etc/logrotate.d/syslog
    
create 640 root logadmin ← endscriptの直下に追加

  5. ログインし直して確認


こうすることでメールログファイルは所有者である「root」に閲覧と書き込みが、「logadmin」グループに所属しているユーザーには閲覧のみが認められるようになります。で、そのグループにログインユーザーを登録しておけば、ログインユーザーがメールログを読めるという寸法。

ついでにログローテーションの設定を変更して、ローテーション後に作成される新ファイルのパーミッションも変えるようにしておきます。


パーミッションを変える以上どうしたってセキュリティは下がるわけですが、変更を最低限にすることでまだマシかなあと思うのですがいかがでしょうか。ダメかな。


参考

Linuxねた帳: 一般ユーザでログを参照する
syslogのアクセス権限を変更する : What Would Jesus Do?
  • About

    I'm a web designer/programmer in Kyoto, Japan. Also work as a blogger, DJ.

    NOBODY:PLACE is my personal blog since 1998. Everything I'm interested in is here.

    See Also
    Other Works
    Feed
  • Recent Hatena Bookmark
  • Monthly Archives
    Categories