日志轮转安全性

Question

是否对作为root用户运行日志旋转的安全性有任何担忧？有人问过，恶意用户不能颠覆配置来覆盖任何东西吗？是否可以从另一个用户的cron中运行日志旋转？

Answer 1

只要用户可以用日志文件在目录中写入和创建文件，就可以使用其他用户。但是，如果您的log旋转式配置只能通过根编辑，那么我看不出有多大的风险。如果有人可以颠覆他们可以获得根，并可能造成更大的伤害，而不仅仅是搞乱日志文件，所以这些问题，虽然确实存在，但并不是真正有理由自定义一个标准的应用程序，如日志旋转。

Answer 2

如果log旋转式配置只能由根用户写，那么人们将其更改为覆盖随机文件时，您应该不会遇到任何问题。如果您想以另一个用户的身份运行它，您必须确保用户有权限更改您想要旋转的所有日志文件，这将增加复杂性，但返回很少。

Answer 3

通常，任何用户都应该能够运行日志旋转，但您需要同时覆盖默认状态文件和默认配置。查看手册页是相当容易的：

% /usr/sbin/logrotate --state ~/mylogrotate.status ~/mylogrotate.conf

否则，作为一个非根用户，您将无法更改状态文件或做一些花哨的事情，比如重新启动您不拥有的服务。