Bagaimana untuk menyediakan sistem CentOS untuk menyekat pengubahsuaian pengguna pada log sistem

Cara menyediakan sistem CentOS untuk menyekat pengguna daripada mengubah suai log sistem

Dalam sistem CentOS, log sistem adalah sumber maklumat yang sangat penting Ia merekodkan status pengendalian sistem, mesej ralat, amaran, dsb. Untuk melindungi kestabilan dan keselamatan sistem, kami harus menyekat pengguna daripada mengubah suai log sistem. Artikel ini akan memperkenalkan cara untuk menyediakan sistem CentOS untuk menyekat kebenaran pengubahsuaian log sistem.

1. Buat kumpulan pengguna dan pengguna
Pertama, kita perlu mencipta kumpulan pengguna yang bertanggungjawab secara khusus untuk menguruskan log sistem dan pengguna biasa untuk menguruskan log. Andaikan kumpulan yang kita buat dinamakan logadmin dan pengguna ialah loguser Ia boleh dibuat dengan menggunakan arahan berikut:

sudo groupadd logadmin
sudo useradd -g logadmin loguser

2. Ubah suai kebenaran fail log
Seterusnya, kita perlu mengubah suai kebenaran log sistem. fail supaya hanya pengguna dalam kumpulan logadmin boleh Mengubah suainya dan pengguna lain hanya boleh membacanya. Biasanya, fail log sistem CentOS terletak dalam direktori /var/log Dengan mengambil fail log sistem /var/log/message sebagai contoh, kita boleh melaksanakan perintah berikut untuk mengubah suai kebenaran:

sudo chown root:logadmin /var/log/messages
sudo chmod 640 /var/log/messages

Di atas. arahan menetapkan pemilik fail log kepada Sebagai pengguna akar, kumpulannya ditetapkan kepada kumpulan logadmin, dan kebenarannya ditetapkan kepada 640. Dengan cara ini, hanya pengguna akar dan pengguna yang tergolong dalam kumpulan logadmin boleh mengubah suai fail log dan pengguna lain hanya boleh membacanya.

3. Konfigurasikan kebenaran sudo
Untuk memastikan bahawa hanya pengguna dalam kumpulan logadmin mempunyai kebenaran untuk mengubah suai fail log, kami juga perlu mengkonfigurasi kebenaran sudo untuk mengehadkan hanya pengguna dalam kumpulan logadmin daripada menggunakan arahan tertentu. Katakan kita ingin mengehadkan pengguna loguser untuk hanya menggunakan arahan logrotate, kita boleh melakukan langkah berikut:

1. Edit fail sudoers menggunakan arahan visudo:

   sudo visudo

2. Tambah kandungan berikut dalam fail:

   %logadmin ALL=(ALL) NOPASSWD: /usr/sbin/logrotate

   Dengan cara ini, hanya fail kepunyaan Hanya pengguna dalam kumpulan logadmin boleh menggunakan arahan logrotate dan tidak perlu memasukkan kata laluan.

4. Ujian tetapan
Selepas melengkapkan tetapan di atas, kami boleh menguji sama ada kebenaran pengguna untuk mengubah suai log sistem telah berjaya dihadkan.

1. Tukar kepada pengguna loguser:

   sudo su - loguser

2. Cuba ubah suai fail log:

   echo "test" >> /var/log/messages

   Memandangkan pengguna loguser bukan tergolong dalam kumpulan logadmin, ia tidak boleh mengubah suai fail log dan akan digesa dengan kebenaran yang tidak mencukupi .

3. Gunakan pengguna logadmin untuk cuba mengubah suai fail log:

   echo "test" >> /var/log/messages

   Memandangkan pengguna logadmin tergolong dalam kumpulan logadmin, ia mempunyai kebenaran untuk mengubah suai fail log.

Melalui tetapan di atas, kami telah berjaya menyekat keupayaan pengguna untuk mengubah suai log sistem dan melindungi kestabilan dan keselamatan sistem.

Ringkasan
Artikel ini memperkenalkan cara menyediakan sistem CentOS untuk menyekat kebenaran pengguna untuk mengubah suai log sistem. Dengan mencipta kumpulan pengguna dan pengguna, mengubah suai kebenaran pada fail log, dan mengkonfigurasi kebenaran sudo, kami boleh mencapai bahawa hanya pengguna tertentu boleh mengubah suai log sistem dan meningkatkan keselamatan dan kestabilan sistem.

Nota: Nama kumpulan, pengguna, fail log, dsb. yang digunakan dalam contoh dalam artikel ini adalah untuk rujukan sahaja dan perlu dilaraskan mengikut situasi sebenar dalam penggunaan sebenar.

Atas ialah kandungan terperinci Bagaimana untuk menyediakan sistem CentOS untuk menyekat pengubahsuaian pengguna pada log sistem. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!