ホームページ >運用・保守 >Linuxの運用と保守 >システム ログに対するユーザーの変更を制限するように CentOS システムをセットアップする方法
ユーザーによるシステム ログの変更を制限するために CentOS システムを設定する方法
CentOS システムでは、システム ログはシステムの動作状況、エラー メッセージ、警告を記録する非常に重要な情報源です。 、など。システムの安定性とセキュリティを保護するために、ユーザーによるシステム ログの変更を制限する必要があります。この記事では、CentOSシステムでシステムログの変更権限を制限する設定方法を紹介します。
1. ユーザー グループとユーザーの作成
まず、システム ログの管理を特に担当するユーザー グループと、ログの管理を担当する一般ユーザーを作成する必要があります。作成したグループ名が logadmin、ユーザーが loguser であるとします。このグループは、次のコマンドで作成できます:
sudo groupadd logadmin sudo useradd -g logadmin loguser
2. ログ ファイルのアクセス許可を変更します。
次に、ログ ファイルのアクセス許可を変更する必要があります。システム ログ ファイルのアクセス許可を設定し、logadmin グループ内のユーザーのみがファイルを変更でき、他のユーザーは読み取りのみできるようにします。通常、CentOS システムのログ ファイルは /var/log ディレクトリにあります。システム ログ ファイル /var/log/messages を例として、次のコマンドを実行して権限を変更できます。 ##上記のコマンドは、ログ ファイルのアクセス許可を変更します。所有者は root ユーザーに設定され、それが属するグループは logadmin グループに設定され、アクセス許可は 640 に設定されます。この方法では、root ユーザーと logadmin グループに属するユーザーのみがログ ファイルを変更でき、他のユーザーは読み取りのみできます。
3. sudo 権限の設定
logadmin グループ内のユーザーのみがログ ファイルを変更する権限を確実に持つようにするには、logadmin グループ内のユーザーのみが特定のファイルを使用できないように sudo 権限を設定する必要もあります。コマンド。 loguser ユーザーが logrotate コマンドのみを使用できるように制限したいとします。次の手順を実行できます。sudo chown root:logadmin /var/log/messages sudo chmod 640 /var/log/messages
sudo visudo
これにより、logadmin グループに属するユーザーのみが logrotate コマンドを使用できるようになり、パスワードは必要なくなります。
%logadmin ALL=(ALL) NOPASSWD: /usr/sbin/logrotate
sudo su - loguser
loguser ユーザーが変更しているため、 logadmin グループに属していないため、ログ ファイルを変更できず、権限が不十分であることを示すメッセージが表示されます。
echo "test" >> /var/log/messages
logadmin ユーザーは logadmin グループに属しているため、ログ ファイルを変更する権限を持っています。 。
概要
この記事では、システム ログを変更するユーザーの権限を制限するように CentOS システムを設定する方法を紹介します。ユーザー グループとユーザーを作成し、ログ ファイルのアクセス許可を変更し、sudo アクセス許可を構成することで、特定のユーザーのみがシステム ログを変更できるようになり、システムのセキュリティと安定性が向上します。
注: この記事の例で使用されているグループ名、ユーザー、ログ ファイルは参考用であり、実際の使用状況に応じて調整する必要があります。
以上がシステム ログに対するユーザーの変更を制限するように CentOS システムをセットアップする方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。