accesso journalctl per utenti non root


12

La documentazione di journald afferma che l'aggiunta di un utente al gruppo "systemd-journal" o al gruppo "adm" consente all'utente di accedere al journal a livello di sistema.

Sto utilizzando l'ultimo CentOS 7 e sembra che abbia problemi ad accedere al journal come utente non root.

Ecco la mia configurazione:

$ id
uid=1000(centos) gid=1000(centos) groups=1000(centos),4(adm),10(wheel),190(systemd-journal) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

$ cat /etc/systemd/journald.conf
[Journal]
Storage=persistent

$ journalctl
-- Logs begin at Sat 2015-08-29 16:35:52 UTC, end at Sat 2015-08-29 17:28:47 UTC. --
Aug 29 16:35:52 hostname ... <log continues>

Non ci sono registri di sistema nell'output journalctl. Ecco la mia configurazione delle autorizzazioni:

$ ll -a /var/log/journal/f9afeb75a5a382dce8269887a67fbf58/
total 24592
drwxr-xr-x. 2 root root     4096 Aug 29 16:35 .
drwxr-xr-x. 3 root root     4096 Aug 29 17:28 ..
-rw-r-----. 1 root root 16777216 Aug 29 17:27 system.journal
-rw-r-----+ 1 root root  8388608 Aug 29 17:33 user-1000.journal

Se cambio il gruppo di proprietà di system.journalper systemd-journaltutto funziona bene. Tuttavia, questo non sembra giusto, poiché la documentazione non dice nulla al riguardo.

C'è qualcosa che mi manca o è effettivamente necessario modificare manualmente il gruppo del system.journalfile?

Grazie


Risposte:


6

La soluzione è modificare la proprietà del gruppo e aggiungere un bit appiccicoso alla cartella principale prima della .journalcreazione dei file.

chown :systemd-journal /var/log/journal/f9afeb75a5a382dce8269887a67fbf58
chmod g+s /var/log/journal/f9afeb75a5a382dce8269887a67fbf58

Questo journalctlfunziona per me, ma non vede tutti i messaggi che root può vedere ...
Gert van den Berg,

@GertvandenBerg prova a verificare se i file esistenti sono leggibili da systemd-journal. I comandi pubblicati qui si sono assicurati che siano leggibili solo i nuovi file, non quelli esistenti.
Michal Kralik,

Nella configurazione di Ubuntu, il permesso era corretto ... L'output di journalctl come root include tutti i servizi, mentre sembra che un normale utente nel gruppo systemd-journal possa solo visualizzare messaggi relativi all'avvio ... (Ma potrebbe sono stato correlato a non accedere di nuovo per accedere al nuovo gruppo - ora sembra a posto ...)
Gert van den Berg
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.