如何只授予非root用户对/var/log目录的访问权限

Question

我创建了新的非根(普通)用户，并希望只授予对/var/log目录的访问权限，以便用户可以查看和监视日志。除了查看/var/log中的文件之外，用户不应该能够访问cd/ls或访问/etc目录并做任何其他事情。这是可能的吗？

我尝试使用setfacl -m u: user：--在/etc目录上，但是在与用户登录时获得/etc/profile权限被拒绝的错误。

我怎样才能做到这一点？

Answer 1

方法1 :

将查看日志文件的权限授予组adm中的用户。

sudo usermod -aG adm <USER>

方法2 :

使用logrotate

日志旋转手册

在旋转后立即创建模式所有者组(在运行Post轮换脚本之前)，将创建日志文件(与刚刚旋转的日志文件的名称相同)。模式以八进制(与chmod(2)相同)指定日志文件的模式，所有者指定将拥有日志文件的用户名，组指定日志文件所属的组。可以省略任何日志文件属性，在这种情况下，新文件的这些属性将使用与省略属性的原始日志文件相同的值。可以使用nocreate选项禁用此选项。

用法：

/var/log/messages { .... create 444 user group .... }

方法3 :

跟着它，伙计！随心所欲地跟踪你需要的日志。

tail -f /var/log/messages.log

我会用第三种方法。因为我很懒。(zzzzzz)