Разрешения файлов Linux запрещены для файлов журнала
Я установил nxlog для отправки моих журналов на сервер Graylog. Он работает нормально, но у меня отказано в доступе к журналам моего HIDS Ossec.
Мой процесс nxlog (запущен коллектором-sidecar) запускается от имени пользователя root:
# ps -ef | grep collector
root 1869 1 0 13:23 ? 00:00:03 /usr/bin/graylog-collector-sidecar
root 1905 1869 0 13:23 ? 00:00:29 /usr/bin/nxlog -f -c /etc/graylog/collector-sidecar/generated/nxlog.conf
В nxlog .conf , у меня есть:
User root
Group adm
Права на журналы OSSEC следующие ( ossec: ossec для / var / ossec / logs ):
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- ossec ossec logs
-rw-r--r-- root ossec active-responses.log
Итак , пользователь ossec и члены группы OSSEC могут читать этот файл (я думаю).
Я добавил корень в группу ossec:
# id
uid=0(root) gid=0(root) groupes=0(root),1005(ossec)
Я тестировал с перезагрузка моего сервера, но я прочитал в журналах nxlog:
ERROR apr_stat failed on file /var/ossec/logs/active-responses.log;Permission denied
Когда я выбрал root каталог / var / ossec / logs , чтобы иметь:
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- root ossec logs
-rw-r--r-- root ossec active-responses.log
Итак, почему, когда я помещаю root в группу ossec , мой процесс nxlog не может прочитать этот файл?
Можете ли вы попробовать удалить root пользователя из вашего nxlog.conf ? Он по-прежнему будет работать как root . Правда, в CE была ошибка с этим.