Comment configurer un système CentOS pour restreindre les modifications utilisateur aux journaux système

Comment configurer le système CentOS pour empêcher les utilisateurs de modifier le journal système

Dans le système CentOS, le journal système est une source d'informations très importante. Il enregistre l'état de fonctionnement du système, les messages d'erreur, les avertissements, etc. Afin de protéger la stabilité et la sécurité du système, nous devons empêcher les utilisateurs de modifier les journaux système. Cet article explique comment configurer le système CentOS pour restreindre les autorisations de modification du journal système.

1. Créer des groupes d'utilisateurs et des utilisateurs
Tout d'abord, nous devons créer un groupe d'utilisateurs spécifiquement responsable de la gestion des journaux système et un utilisateur ordinaire pour la gestion des journaux. Supposons que le nom du groupe que nous avons créé est logadmin et que l'utilisateur est loguser. Il peut être créé en utilisant la commande suivante :

sudo groupadd logadmin
sudo useradd -g logadmin loguser

2. Modifiez les autorisations du fichier journal
Ensuite, nous devons modifier les autorisations du journal système. fichier afin que seuls les utilisateurs du groupe logadmin puissent le modifier et que les autres utilisateurs puissent uniquement le lire. Habituellement, les fichiers journaux du système CentOS se trouvent dans le répertoire /var/log En prenant comme exemple le fichier journal système /var/log/messages, nous pouvons exécuter la commande suivante pour modifier les autorisations :

sudo chown root:logadmin /var/log/messages
sudo chmod 640 /var/log/messages

Ce qui précède. La commande définit le propriétaire du fichier journal sur En tant qu'utilisateur root, son groupe est défini sur le groupe logadmin et ses autorisations sont définies sur 640. De cette manière, seuls l'utilisateur root et les utilisateurs appartenant au groupe logadmin peuvent modifier le fichier journal, et les autres utilisateurs peuvent uniquement le lire.

3. Configurer les autorisations sudo
Afin de garantir que seuls les utilisateurs du groupe logadmin ont l'autorisation de modifier les fichiers journaux, nous devons également configurer les autorisations sudo pour empêcher uniquement les utilisateurs du groupe logadmin d'utiliser des commandes spécifiques. Supposons que nous souhaitions restreindre l'utilisateur loguser à utiliser uniquement la commande logrotate, nous pouvons effectuer les étapes suivantes :

1. Modifiez le fichier sudoers à l'aide de la commande visudo :

   sudo visudo

2. Ajoutez le contenu suivant dans le fichier :

   %logadmin ALL=(ALL) NOPASSWD: /usr/sbin/logrotate

   De cette façon, seuls les fichiers appartenant aux utilisateurs du groupe logadmin peuvent utiliser la commande logrotate et n'ont pas besoin de saisir de mot de passe.

4. Paramètres de test
Après avoir terminé les paramètres ci-dessus, nous pouvons tester si l'autorisation de l'utilisateur de modifier le journal système a été restreinte avec succès.

1. Passer à l'utilisateur loguser :

   sudo su - loguser

2. Essayez de modifier le fichier journal :

   echo "test" >> /var/log/messages

   Étant donné que l'utilisateur loguser n'appartient pas au groupe logadmin, il ne peut pas modifier le fichier journal et demandera des autorisations insuffisantes.

3. Utilisez l'utilisateur logadmin pour essayer de modifier le fichier journal :

   echo "test" >> /var/log/messages

   Étant donné que l'utilisateur logadmin appartient au groupe logadmin, il a l'autorisation de modifier le fichier journal.

Grâce aux paramètres ci-dessus, nous avons réussi à restreindre l'autorisation des utilisateurs de modifier les journaux système et à protéger la stabilité et la sécurité du système.

Résumé
Cet article explique comment configurer le système CentOS pour restreindre l'autorisation des utilisateurs de modifier les journaux système. En créant des groupes d'utilisateurs et des utilisateurs, en modifiant les autorisations sur les fichiers journaux et en configurant les autorisations sudo, nous pouvons faire en sorte que seuls des utilisateurs spécifiques puissent modifier les journaux système et améliorer la sécurité et la stabilité du système.

Remarque : les noms de groupe, les utilisateurs, les fichiers journaux, etc. utilisés dans les exemples de cet article sont uniquement à titre de référence et doivent être ajustés en fonction de la situation réelle d'utilisation.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!