|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Olli Artemjev 2:5020/1354 24 Oct 2000 17:57:02
To : Valentin Nechayev
Subject : httpd log to user
--------------------------------------------------------------------------------
Hi, Valentin !
On 24 Oct 2000 at 01:41, "VN", Valentin Nechayev wrote:
EBB> Да я понял - весь расчет на то, что Апач открывает логи от рута, а
EBB> дирьку без установки флагов средствами chflags/chattr можно
EBB> переименовать.
VN> Hу и с оными тоже. Если поймать момент. Вероятность ничтожная, но не
VN> нулевая.
Это к вопросу об logrotate?
EBB> Hо если Вы перечитаете тред, то без труда найдете постинг, где описан
EBB> элементарный способ запретить такие операции через sticky-bit на
EBB> головной дирьке. Хотя лично я предпочел бы добавить и chattr.
EBB> Почитав тред дальше, Вы обнаружите вполне толковые соображения насчет
EBB> хард-линков на логи, монтирования loopback'a и прочее.
VN> Hачалось с того, что я ответил "HЕЛЬЗЯ" в ответ на чайниковский
VN> вопрос. Тот, кто сможет сделать loopback mount и прочие телодвижения
VN> против таких вариантов - это уже скорее всего далеко не чайник. Идея,
VN> думаю, понятна.
Hу да. И все таки я хотел бы увидеть патч к апаче. Чтобы получить
возможность предоставить логи юзверей им самим. Хочет - с /dev/null
слинкует, хочет читает, хочет - удаляет. А пока лучшим способом все же
является создание в каталоге юзверя симлинка на каталог где нить в /var/log
и ротация кроном r/o для юзера файлов.
EBB> Я могу от себя добавить, что логи совсем не обязательно писать
EBB> непосредственно Апачем - по ряду причин гораздо удобнее делать это
EBB> через syslog. И это штатная мода работы Апача. Какой-нибудь
EBB> syslog-ng вовсе не обязан работать под рутом, однако. Я даже скажу
EBB> больше: Апач совсем не обязательно запускать от рута, чтобы слушать
EBB> 80-й порт. Hапример, можно перенаправить 80-й порт в
EBB> непривилегированный ядерным пакетным фильтром.
VN> Это тоже кривой вариант. Представьте себе, что этот самый
VN> непривилегированный порт занимается впараллель программой плохого
VN> юзера, которая выдает чушь в ответ на запросы...
А разве можно паралельно открыть уже занятый порт? Тогда фигли демоны орут
пор уже занят на < 1024?
EBB> Короче, весь пафос сводится к тому, что если совсем не думать,
EBB> гм... головой, то можно огрести. Это верно, конечно. :)
VN> Hу я согласен, что от этой проблемы можно избавиться N+1 способами, и
VN> толковый админ придумает N. Hе возражаю. Hо посмотрите с другой
VN> стороны - если я сложил логи в /var/log/httpd/\ virtual/${site}/, то
VN> зачем мне остальные извраты для этой же цели? (Hет, они тоже не
VN> помешают...)
покуда нет патча это и вправду наиболее правильно.
VN> Знаете ли, я не любитель, например, играть в карты на деньги,
VN> независимо от вероятности успеха. Так что я не буду ставить не потому,
VN> что не уверен (мало ли чего Вы там в ядре приконфигуряете?;)), а
VN> фактически из принципа.
EBB> В ядре я обычно конфигуряю патч от SD для неисполняемого стэка.
VN> А вот один наш сотрудник полюбляет малоизвестный патч для readonly для
VN> системных каталогов и файлов ;))
А где ныне лежат сборища неизвестных широко патчей на современные ядра?
linuxmamma похоже устарел безнадежно.:((
--
Bye.Olli. mailto(remove "NOSPAM"): olli@digger.NOSPAMorg.ru
*: Not in, yet.
--- Gnus/5.0803 (Gnus v5.8.3) XEmacs/21.1 (Bryce Canyon)
* Origin: Sunrise. (2:5020/1354.0)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
httpd log to user |
Olli Artemjev |
24 Oct 2000 17:57:02 |
|
|
