самопроизвольное изменение прав доступа
viewer2011 12 января, 2011 - 01:00
НАстроил logcheck. Приходили разные сообщения об ошибках при логировании, ботах которые ломились ко мне на ssh и пр.
Спустя день, изменились все права доступа на файлики,которые мониторил logckeck.
"File /var/log/auth.log cannot be read: Отказано в доступе" - это то, что мне logcheck выдавал на почту.
Хорошо изменил права доступа - опять мониторит и все тип топ.
Спустя день опять - "File /var/log/auth.log cannot be read: Отказано в доступе"
КАким то процессом изменяются права доступа. Но как понять каким? Есть ощущение что кроном, поскольку изменения файла приходятся ровно на, например, 10:00.
Помогите узнать откуда растут ноги или руки...
»
- Для комментирования войдите или зарегистрируйтесь
Возможно, logrotate «шалит»
Возможно,
logrotate«шалит» ;)Какой логгер вы используете? Покажите «неправильные» права доступа.
Я ♥ Gentoo & Funtoo
-rw------- 1 root root
-rw------- 1 root root 719637 Янв 12 00:02 /var/log/auth.log
-rw------- 1 root root 57826 Янв 12 00:10 /var/log/cron.log
-rw------- 1 root root 92821 Янв 12 00:12 /var/log/daemon.log
-rw------- 1 root root 156647 Янв 12 00:12 /var/log/debug
-rw-r----- 1 root root 43189 Янв 12 00:02 /var/log/dmesg
-rw-rw---- 1 portage portage 163821 Янв 11 03:33 /var/log/emerge-fetch.log
-rw-rw---- 1 portage portage 474375 Янв 11 09:33 /var/log/emerge.log
-rw-r----- 1 root logcheck 24048 Янв 12 00:02 /var/log/faillog
-rw------- 1 root root 251477 Янв 12 00:03 /var/log/kern.log
-rw-r--r-- 1 root root 292584 Янв 12 00:02 /var/log/lastlog
-rw-r----- 1 root logcheck 0 Янв 8 17:51 /var/log/lpr.log
-rw-r----- 1 root logcheck 4474 Янв 12 00:00 /var/log/mail.err
-rw------- 1 root root 9692846 Янв 12 00:00 /var/log/mail.info
-rw------- 1 root root 9697320 Янв 12 00:00 /var/log/mail.log
-rw-r----- 1 root logcheck 0 Янв 8 17:52 /var/log/mail.warn
-rw------- 1 root root 15808393 Янв 12 00:12 /var/log/messages
-rw------- 1 root root 1960 Янв 6 10:38 /var/log/ppp-connect-errors
-rw-r----- 1 root logcheck 0 Янв 8 17:51 /var/log/syslog.log
-rw------- 1 root root 4194240 Янв 3 21:21 /var/log/tallylog
-rw------- 1 root root 787 Янв 12 00:00 /var/log/user.log
-rw-rw-r-- 1 root utmp 1132416 Янв 12 00:02 /var/log/wtmp
-rw-r--r-- 1 root ossys 9504 Янв 11 10:18 /var/log/Xorg.0.log
-rw-r--r-- 1 root ossys 8708 Янв 11 09:25 /var/log/Xorg.0.log.old
Логер - syslog-ng
Вот только что изменились еще раз права - какая-то фигня.
См. файл auth.log.
видимо скоро получу сообщения от logcheck, что он не может получить доступ к auth.log
Ротации журнала нет пока.
у меня была похожая ситуация
у меня была похожая ситуация со скриптом для поиска сообщения в логоах
суть следующая: logrotate после ротации логов посылает приложению (сислог-нг в данном случаи) команду переоткрыть логи и сислог сбрасывает права в дефолтные
лечится следующим образом: в нужной секции дестинейшн в конфиге сислога надо вписать параметр прав на файл (точного названия не помню), после этого сислог будет сам выставлять эти права на лог при его открытии и создании нового после ротации
единственное что я не
единственное что я не устанавливал logrotate.
Все что есть в системе:
/etc/logrotate.d /etc/logrotate.d/elog-save-summary /etc/logrotate.d/rsyncd /etc/logrotate.d/syslog-ng /usr/portage/app-admin/logrotate /usr/portage/app-admin/collectd/files/logrotate /usr/portage/app-admin/denyhosts/files/denyhosts.logrotate /usr/portage/app-admin/logrotate/ChangeLog /usr/portage/app-admin/logrotate/Manifest /usr/portage/app-admin/logrotate/files /usr/portage/app-admin/logrotate/logrotate-3.7.1-r2.ebuild /usr/portage/app-admin/logrotate/logrotate-3.7.2.ebuild /usr/portage/app-admin/logrotate/logrotate-3.7.7.ebuild /usr/portage/app-admin/logrotate/logrotate-3.7.8.ebuild /usr/portage/app-admin/logrotate/logrotate-3.7.9.ebuild /usr/portage/app-admin/logrotate/metadata.xml /usr/portage/app-admin/logrotate/files/logrotate-3.7.1-dateext-maxage.patch /usr/portage/app-admin/logrotate/files/logrotate-3.7.1-datehack.patch /usr/portage/app-admin/logrotate/files/logrotate-3.7.1-ignore-hidden.patch /usr/portage/app-admin/logrotate/files/logrotate-3.7.1-manpage-fixes.patch /usr/portage/app-admin/logrotate/files/logrotate-3.7.1-no-tmpdir.patch /usr/portage/app-admin/logrotate/files/logrotate-3.7.1-taboo-to-debug.patch /usr/portage/app-admin/logrotate/files/logrotate-3.7.1-weekly.patch /usr/portage/app-admin/logrotate/files/logrotate-3.7.7-datehack.patch /usr/portage/app-admin/logrotate/files/logrotate-3.7.7-fbsd.patch /usr/portage/app-admin/logrotate/files/logrotate-3.7.7-ignore-hidden.patch /usr/portage/app-admin/logrotate/files/logrotate-3.7.7-weekly.patch /usr/portage/app-admin/logrotate/files/logrotate.conf /usr/portage/app-admin/logrotate/files/logrotate.cron /usr/portage/app-admin/phpsyslogng/files/logrotate.php /usr/portage/app-admin/rsyslog/files/3-stable/rsyslog.logrotate /usr/portage/app-admin/rsyslog/files/5-stable/rsyslog.logrotate /usr/portage/app-admin/syslog-ng/files/syslog-ng.logrotate /usr/portage/app-admin/syslog-ng/files/syslog-ng.logrotate.hardened /usr/portage/app-admin/ulogd/files/ulogd-1.24-syslog-and-logrotate.patch /usr/portage/app-antivirus/clamav/files/clamav.logrotate /usr/portage/app-backup/tsm/files/tsm.logrotate /usr/portage/app-emulation/xen-tools/files/xen-consoles.logrotate /usr/portage/app-text/scrollkeeper/files/scrollkeeper-logrotate /usr/portage/dev-db/firebird/files/firebird.logrotate /usr/portage/dev-db/mysql-init-scripts/files/logrotate.mysql /usr/portage/mail-filter/dspam/files/logrotate.dspam /usr/portage/mail-filter/qmail-scanner/files/qmail-scanner-2.05.logrotate /usr/portage/mail-filter/qmail-scanner/files/qmail-scanner-2.06.logrotate /usr/portage/mail-filter/qmail-scanner/files/qmail-scanner-2.08.logrotate /usr/portage/mail-filter/qmail-scanner/files/qmailscanner.logrotate /usr/portage/mail-filter/spamassassin-fuzzyocr/files/fuzzyocr.logrotate /usr/portage/mail-mta/exim/files/exim.logrotate /usr/portage/media-plugins/vdr-dvdconvert/files/dvdlogrotate /usr/portage/media-sound/murmur/files/murmur.logrotate /usr/portage/media-sound/squeezeboxserver/files/squeezeboxserver.logrotate.d /usr/portage/media-tv/mythtv/files/mythtv.logrotate.d /usr/portage/media-tv/mythtv/files/mythtv.logrotate.d-r1 /usr/portage/metadata/cache/app-admin/logrotate-3.7.1-r2 /usr/portage/metadata/cache/app-admin/logrotate-3.7.2 /usr/portage/metadata/cache/app-admin/logrotate-3.7.7 /usr/portage/metadata/cache/app-admin/logrotate-3.7.8 /usr/portage/metadata/cache/app-admin/logrotate-3.7.9 /usr/portage/metadata/cache/sec-policy/selinux-logrotate-2.20090730 /usr/portage/metadata/cache/sec-policy/selinux-logrotate-2.20091215 /usr/portage/metadata/cache/sec-policy/selinux-logrotate-20080525 /usr/portage/net-analyzer/fail2ban/files/fail2ban-logrotate /usr/portage/net-analyzer/munin/files/logrotate.d-munin /usr/portage/net-dialup/capisuite/files/capisuite.logrotated /usr/portage/net-ftp/vsftpd/files/vsftpd.logrotate /usr/portage/net-irc/quassel/files/quassel.logrotate /usr/portage/net-mail/mailgraph/files/mailgraph.logrotate-new /usr/portage/net-misc/asterisk/files/1.4.0/asterisk.logrotate /usr/portage/net-misc/asterisk/files/1.6.2/asterisk.logrotate3 /usr/portage/net-misc/chrony/files/chrony.logrotate /usr/portage/net-misc/iaxmodem/files/iaxmodem.logrotated /usr/portage/net-misc/rsync/files/rsyncd.logrotate /usr/portage/net-misc/tor/files/tor-0.2.1.19-logrotate.patch /usr/portage/net-proxy/dansguardian/files/dansguardian.logrotate /usr/portage/net-proxy/privoxy/files/privoxy.logrotate /usr/portage/net-proxy/squid/files/squid.initd-logrotate /usr/portage/net-proxy/squid/files/squid.logrotate /usr/portage/sec-policy/selinux-logrotate /usr/portage/sec-policy/selinux-logrotate/ChangeLog /usr/portage/sec-policy/selinux-logrotate/Manifest /usr/portage/sec-policy/selinux-logrotate/metadata.xml /usr/portage/sec-policy/selinux-logrotate/selinux-logrotate-2.20090730.ebuild /usr/portage/sec-policy/selinux-logrotate/selinux-logrotate-2.20091215.ebuild /usr/portage/sec-policy/selinux-logrotate/selinux-logrotate-20080525.ebuild /usr/portage/sys-apps/openrc/files/openrc.logrotate /usr/portage/sys-apps/qingy/files/qingy-logrotate /usr/portage/sys-cluster/corosync/files/corosync.logrotate /usr/portage/sys-process/acct/files/acct.logrotate /usr/portage/sys-process/dcron/files/dcron.logrotate /usr/portage/www-misc/vdradmin-am/files/vdradmin-3.6.6.logrotate /usr/portage/www-misc/xxv/files/xxvd-logrotate /usr/portage/www-servers/lighttpd/files/lighttpd.logrotate /usr/portage/www-servers/nginx/files/nginx.logrotate /usr/portage/www-servers/thttpd/files/thttpd.logrotate /usr/portage/www-servers/varnish/files/varnishd.logrotate /usr/portage/x11-misc/slim/files/slim.logrotate /usr/share/logtail/detectrotate/20-logrotate.dtr /usr/share/logtail/detectrotate/30-logrotate-dateext.dtr/etc/logrotate.d/elog-save-summary
/var/log/portage/elog/summary.log { missingok nocreate delaycompress }/etc/logrotate.d/rsyncd
/var/log/rsync.log { compress maxage 365 rotate 7 size=+1024k notifempty missingok copytruncate }/etc/logrotate.d/syslog-ng
/var/log/messages { missingok sharedscripts postrotate /etc/init.d/syslog-ng reload > /dev/null 2>&1 || true endscript }stasrocker послал в верном
stasrocker послал в верном направлении....
как вариант пускать logcheck от root'а и\или делать chmod -R 0644 /var/log перед запуском логчека
что-то добрый я сегодня ....
все верно
нужно было смотреть в сторону настроек моего логера - syslog-ng
в параметрах options:
group(logcheck);
perm(0640);
Видимо, по умолчанию там стоят самые безопасные и он каждый раз сбрасывает в 600 рутовые