Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 23/09/2021, à 07:54

gato456

[RESOLU] Reset des permissions de /var/log/syslog au boot

Bonjour,


J'ai constaté que les permissions du fichier /var/log/syslog repassent systématiquement en 0640 au reboot :

root@nowhere:/# ll /var/log/sysl*
-rw-r----- 1 syslog adm  545740 sept. 21 14:45 /var/log/syslog

Le système tourne avec une version Ubuntu 18.04.4 LTS, mais je ne sais pas dire si c'est spécifique à cette version ou un comportement "normal" sous Ubuntu

Ce système est en production et supervisé.
Dans le cadre de cette supervision, nous avons besoin d'un droit de lecture pour les autres et nous positionnons les permissions du fichier en 0644

Ce n'est à priori pas le daemon rsyslogd qui touche à ces permissions : si le service rsyslogd est relancé il ne touche pas aux permissions du fichier, même si par exemple elles sont positionnées en 0666. Et si le fichier /var/log/syslog n'existe pas lors de son démarrage, il le créé avec les bonnes permissions en 0644. Et ça semble normal au vu de la configuration de rsyslog.
Extrait de /etc/rsyslog.conf :

$FileOwner syslog
$FileGroup adm
$FileCreateMode 0644

Ce n'est pas non plus logrotate qui est en cause. A tel point d'ailleurs que si logrotate est exécuté un peu après un reboot il repositionne correctement les droits. Normal au vu de sa configuration :

root@nowhere:/# cat /etc/logrotate.d/rsyslog
/var/log/syslog
{
        rotate 7
        daily
        missingok
        notifempty
        delaycompress
        create 0644 syslog adm
        compress
        postrotate
                /usr/lib/rsyslog/rsyslog-rotate
        endscript
}

OK, il y a plusiseurs manière de contourner le problème. Par exemple faire en sorte que le user utilisé pour la supervision fasse partie du group adm. On peut aussi imaginer un script qui en toute fin du démarrage du système positionne les permissions du fichiers selon nos besoins. Etc ...

Mais je voudrais comprendre le fond du problème, la root cause : qu'est-ce qui modifie les droits de /var/log/syslog au reboot ?
J'ai essayé de fouiller dans tous les fichiers du système, mais sans trouver d'explication

Une petite idée ?

Merci d'avance

Eric

Dernière modification par gato456 (Le 22/12/2021, à 09:49)

Hors ligne

#2 Le 25/09/2021, à 05:20

noje

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

Cela semble parfaitement normal en fait pour des raisons de sécurité : pour éviter que des personnes ne puissent exploiter les informations qui sont dans le fichier, c'est aussi ce que pense le département de la défense des états-unis qui d'ailleurs précise de tester que le fichier est bien en 640.

https://www.stigviewer.com/stig/canonic … g/V-219193

Ceci fait partie d'un guide complet de sécurité pour Ubuntu 18.04  : Canonical Ubuntu 18.04 LTS Security Technical Implementation Guide :

Après dans var/log les fichiers présents sont majoritairement en 640 ou 644 et parfois uniquement avec root et root, par contre l'ajout au groupe adm pour var log est justement pour permettre aux utilisateurs qui ont accès à ce groupe de lire ce fichier pour l'utilisateur syslog aucune idée, mais il doit bien y avoir une raison.


- LTS 18.04 & 22.04 - jwm - cwm - zsh

Les seules vraies erreurs sont celles que nous commettons à répétition.
Les autres sont des occasions d'apprentissage. (Dalaï Lama)

Hors ligne

#3 Le 25/09/2021, à 07:56

cqfd93

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

Modération

Bonjour,

Tout ce qui est en bleu doit être entre balises code (explications ici), pas en couleur, donc message 1 à corriger.


cqfd93

Hors ligne

#4 Le 27/09/2021, à 13:46

gato456

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

@noje

Merci de ta réponse.

Personnellement ce que disent et font les US en matière de sécurité informatique me laisse indifférent ;-)

En sécurité chacun est libre ( encore un truc qu'il est possible de faire, ouf !!! ) de faire ce qui lui convient. Qu'il s'en morde ou non les doigts, c'est son problème.
Que ce soit une best pratice de protéger la syslog, soit. Mais que je ne veuille pas en tenir pas compte pour X raisons est tout aussi acceptable.
Et donc, non, je ne trouve pas normal qu'au reboot, mes choix de permission soient invalidés par l'OS sans que je puisse changer ce comportement

J'ai consulté le lien mais c'est simplement une explication à ce qui est considéré comme une faiblesse et la correction à y apporter.
Je n'ai par contre toujours pas compris qui/que/quoi/dont/où sur ce reset de permissions ?

Noter que ce comportement abusif n'existe pas sur CentOs. Remarque il y a SELinux, mais au moins on est libre de le désactiver
Pas regardé sur ce qu'il en est sur d'autres distribs mais ça m'aurait marqué

Donc pour moi la question reste ouverte : qu'est ce qui au reboot d'une Ubuntu force les permissions de /var/log/syslog ?

Merci d'avance

Dernière modification par gato456 (Le 13/10/2021, à 15:47)

Hors ligne

#5 Le 27/09/2021, à 13:59

gato456

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

@cqfd93

Merci de ta remarque.

Comme pour toutes les règles, à quoi peut bien servir celle-là ?
A apporter des informations pertinentes et claires au forum et à cadrer ceux qui n'ont pas assez de jugeote pour le faire par eux-mêmes
Dis moi ce qui choque dans mon post initial sur ce plan ?

De mon coté, je pense avoir respecté l'esprit de la règle, à défaut de l'avoir fait à la lettre.
Mais bon, si ça peut faire plaisir, je mettrai le coup de peinture quand j'en aurai le temps, c'est à dire probablement pas avant ce we

Hors ligne

#6 Le 27/09/2021, à 14:00

xubu1957

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

Bonjour,

Pour info :  Voir règles du forum > balises BB code

Balise CODE :

C'est la balise à utiliser pour donner de longs messages d'erreurs, des contenus de fichiers de configuration, des commandes à taper, etc … Elle permet des messages plus "compacts", et est moins ambiguë que d'autres polices sur certains caractères.

et le premier message du tutoriel Retour utilisable de commande


Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

Hors ligne

#7 Le 27/09/2021, à 14:23

gato456

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

@xubu1957

Remarque déjà faite par cqfd93
Répondu

Hors ligne

#8 Le 11/10/2021, à 15:31

gato456

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

Bon, effort cosmétique apporté à mon post initial.
Mais j'ai pas l'impression que cet effort sur la forme va changer grand-chose au nombre de réponses sur le fond.

Dernière modification par gato456 (Le 11/10/2021, à 15:33)

Hors ligne

#9 Le 13/10/2021, à 15:48

gato456

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

Bon, déjà que Ubuntu ça me gonflait un peu, mais si en plus le forum héberge plus de mec pressés de venir te donner une t'ite leçon d'utilisation que de sachants, alors ...
Dommage qu'on ne puisse pas fermer un thread avec un flag "Non résolu" ... ha ben si, dans le titre. Voilà qui est fait

Bye

Dernière modification par gato456 (Le 13/10/2021, à 16:20)

Hors ligne

#10 Le 14/10/2021, à 06:16

noje

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

Ben change de distribution alors non, si Ubuntu ne te conviens pas, l’offre est très large sous DistroWatch.


Tu précises dans ton message initial que tu sais contourner alors contourne et basta, après savoir pourquoi et ben il y a des règles de sécurité, c’est tout et c’est parfois c'est rigide les règles surtout quand c’est le cœur de la distribution qui donne les cartes.... Après ça se contourne en effet mais si le contournement n’est pas de facto inclus, il y a une raison, n’est-ce pas.


Enfin si tu avais cherché sur d'autres forums et anglophones, tu aurais trouvé plein de personnes dans ton cas qui cherche à faire se change mais non ce n'est pas jouable même celui qui modifie des fichiers initialisation, inclus sur le site officiel du noyau Linux qui n’a rien à voir avec Ubuntu ou une distribution.



Après je réagis car on dirait les messages de débutant, qui ne sont pas contents de ne pas avoir de solution ou la réponse qu’ils attendaient, j’adore surtout ceux qui précisent aller ailleurs « bon si personne n’a de solution ce n'est pas grave je vais retourner sous Windows..... ».


Bonne continuation en espérant pour toi surtout que tu t’adaptes à Ubuntu, puisque visiblement c’est une machine utilisée en production et que ça te gonfle un peu.


Bye !!


- LTS 18.04 & 22.04 - jwm - cwm - zsh

Les seules vraies erreurs sont celles que nous commettons à répétition.
Les autres sont des occasions d'apprentissage. (Dalaï Lama)

Hors ligne

#11 Le 23/11/2021, à 17:23

gato456

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

Allez, j'ai 5 minutes ... un petit mot à noje ;-)


"après savoir pourquoi et ben il y a des règles de sécurité, "

Un mot que tu ne sembles pas avoir bien intégré et qui pourtant est dans ta phrase : POURQUOI ?
Ben ouaip, c'est con, je veux COMPRENDRE le mécanisme. POURQUOI, QUAND, COMMENT, etc ...

Et répondre "ben il y a des règles de sécurité", ce n'est pas une réponse.

C'est celle par exemple d'un adulte incapable de répondre à la question d'un gamin : "Pourquoi ? Parce que !!!"
Ou alors j'imagine un mec en train de faire une colère en tapant du pied et dire "ben c'est comme ça, Na !!!".
Ou encore un fonctionnaire (désolé pour les fonctionnaires, c'est cliché, mais je n'ai pas mieux) se prosternant devant la statue de la Sécurité pour honorer les Règles de La Sécurité.


"tu aurais trouvé plein de personnes dans ton cas"

Cool tu en as trouvé. Moi pas. Alors envoie les liens au lieu de donner des leçons. STP :-)
J'ai hâte d'échanger avec des personnes qui se posent des questions


"car on dirait les messages de débutant "

Dommage qu'il n'y ait pas un emoticon avec un petit bonhomme en train de se rouler par terre en se pissant dessus de rire

Et bien non, je suis un vieux con, qui a vu l'informatique se transformer.
Et là où avant je bossais avec des gens qui se posaient des questions j'ai de plus en plus en face de moi des mecs tout juste capables de dérouler une procédure sans trop comprendre ce qu'ils font, juste conforter une certaine idée du "ben ... c'est comme çà"

Et quand je cherche à comprendre quelque chose, et bien oui, je suis un débutant et je suis fier de pouvoir encore avoir cette naïveté d'être curieux !!!


Bon, cela étant, on n'est pas là pour se filer des beignes, enfin il me semble, et je n'ai toujours pas trouvé ma réponse
Mais c'est sûr, je l'aurai. Un jour, je l'aurai ;-)

... D'ailleurs j'ai une piste qui me parait sérieuse sur le mécanisme qui pourrait être à l’œuvre sur ce sujet des droits de syslog ... mais chuuuuuut ... ça pourrait fâcher le Dieu de la sécurité si on change quelque chose ...

Hors ligne

#12 Le 24/11/2021, à 12:05

iznobe

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

Bon, cela étant, on n'est pas là pour se filer des beignes, enfin il me semble, et je n'ai toujours pas trouvé ma réponse
Mais c'est sûr, je l'aurai. Un jour, je l'aurai ;-)

Bonjour , je prefere ca que jouer de la provocation , apres tout le monde ne connait pas le noyau et son fonctionnement intinseque , cela n ' empeche pas les gens de pouvoir s ' exprimer .

Cela dit quand tu auras trouver la reponse , je serais tout de meme curieux de connaitre la reponse a la question fondamentale que tu nous pose big_smile meme si cela ne me servira probablement pas , j' aime bien en connaitre davantage et comprendre comment ca marche .


retour utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#13 Le 24/11/2021, à 16:28

geole

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

gato456 a écrit :

Bonjour,
J'ai constaté que les permissions du fichier /var/log/syslog repassent systématiquement en 0640 au reboot :

root@nowhere:/# ll /var/log/sysl*
-rw-r----- 1 syslog adm  545740 sept. 21 14:45 /var/log/syslog

Le système tourne avec une version Ubuntu 18.04.4 LTS, mais je ne sais pas dire si c'est spécifique à cette version ou un comportement "normal" sous Ubuntu

Ce système est en production et supervisé.
Dans le cadre de cette supervision, nous avons besoin d'un droit de lecture pour les autres et nous positionnons les permissions du fichier en 0644

Eric

Bonjour
Bien que je ne réponde pas à ta question: Pourquoi ne modifies-tu pas tes scripts afin d'aller chercher directement les informations chez le producteur (systemd) plutôt que de passer par  un intermédiaire qui  pose des problèmes de conception. https://forum.ubuntu-fr.org/viewtopic.p … #p22508010 et peut-être https://forum.ubuntu-fr.org/viewtopic.php?id=2068500
Donc il finira bien par être abandonné.


NOTA, Un palliatif, au lieu de bidouiller les permissions,  dis que "Les autres" appartiennent au groupe adm . Ils auront automatiquement le droit de lire.

Dernière modification par geole (Le 24/11/2021, à 17:50)


Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

Hors ligne

#14 Le 03/12/2021, à 15:06

gato456

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

Bonjour,

@iznobe :

La réponse à la question fondamentale reste 42, on n'a pas encore trouvé mieux hmm

Sinon, pour cette fameuse piste, je pensais à apt.
En effet, j'ai récemment eu un problème du même ordre sur un autre UBUNTU, mais cette fois-ci, à chaud, sans reboot
Après analyse il s'avère que les permissions du fichier on été réinitialisées lors d'une mise à jour
Dans le fichier de log /var/log/dpkg.log, on trouve ces entrées dont le timestamp correspond à l'heure de changement des permissions du fichier

root@XXXXXX:/var/log# grep -i syslog /var/log/dpkg.log
2021-11-22 18:28:24 status triggers-pending rsyslog:amd64 8.32.0-1ubuntu4
2021-11-22 18:28:52 trigproc rsyslog:amd64 8.32.0-1ubuntu4 <none>
2021-11-22 18:28:52 status half-configured rsyslog:amd64 8.32.0-1ubuntu4
2021-11-22 18:28:53 status installed rsyslog:amd64 8.32.0-1ubuntu4

Or sur HP-UX [ j'ai déjà dit que je suis une vieille chose tongue ] lors de l'installation d'un product (~rpm), il peut y avoir des permissions et propriétaires qui bougent
Il y a même moyen de faire une analyse des permissions et droits courants vs les permissions et droits de la base des products installés

Du coup j'imaginais qu'il devait y avoir un peu la même chose avec apt, avec peut-être un mécanisme pour forcer les droits dans certains cas ?
Et ça ne serait pas débile que ça s'exerce au démarrage

Mais je n'ai pas eu le temps de fouiller plus avant cette idée d'autant plus que comme je ne connais pas apt il me faut encore plus de temps pour avancer sur ce sujet.
Et du temps, il n'y en pas trop car je suis dans un environnement de production (cf plus bas) où le traitement des incidents n'attend pas : pas beaucoup de bande passante pour un travail sur le fond

Mais la piste apt me parait moins évidente à ce jour ... sad


@geole

Excellente idée ce serait à creuser ... mais les programmes et scripts de supervision sont hélas en-dehors de mon périmètre d'intervention
Il y a des équipes pour la production, dont je fais partie, et une équipe qui développe les outils de supervision (binaires C, scripts, python, etc ...)
Au niveau production on a également la capacité de faire du développement, mais pour nos outils systèmes, pas pour la supervision :-(

Et imposer un changement à la supervision ... faut pas être pressé.
Genre paquebot que tu voudrais faire pivoter ;-)

Pour ce qui est du palliatif, le user au travers duquel la supervision opère a été ajouté au groupe secondaire adm sur les systèmes UBUNTU
Du coup il accède effectivement bien au fichier /var/log/syslog.
Mais ce n'est pas souverain : il reste parfois un problème et il faudrait que je descende toute la chaine pour trouver le bug. Bug dans notre controle cette fois-ci

Voilà, voilà

Merci de vos retours

Hors ligne

#15 Le 11/12/2021, à 10:22

noje

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

Bon je me suis reconnecté récemment et j'ai relu ce post et j'ai trouvé la solution.

Juste avec un locate et un more en lisant doucement les retours fichiers, les manpages de rsyslog, logrotate, une inspection de service n'ayant rien données.



Les modifications des fichiers de log dont "syslog" doivent se faire sur ce fichier :  " /usr/lib/tmpfiles.d/00rsyslog.conf ". (pour comprendre lire la manpage de tmpfiles.d comme précise le fichier)

Il suffit de modifier les paramètres simplement, le fichier ci-dessous est assez compréhensible :

# Override systemd's default tmpfiles.d/var.conf to make /var/log writable by
# the syslog group, so that rsyslog can run as user.
# See tmpfiles.d(5) for details.

# Type Path    Mode UID  GID  Age Argument
z /var/log 0775 root syslog -
z /var/log/auth.log 0640 syslog adm -
z /var/log/mail.err 0640 syslog adm -
z /var/log/mail.log 0640 syslog adm -
z /var/log/kern.log 0640 syslog adm -
z /var/log/syslog 0644 syslog adm -
d /var/spool/rsyslog 0700 syslog adm -

Une fois le reboot de la machine faite les prises en compte sont effectives.

C'est vrai qu'il faut avoir des développeurs spécialisés en administration système très pointue pour modifier ce genre de fichier...

Peut-être utile de faire une mise à jour sur la doc, le changement est de 2016 visiblement "nouveauté de la LTS 16.04"


- LTS 18.04 & 22.04 - jwm - cwm - zsh

Les seules vraies erreurs sont celles que nous commettons à répétition.
Les autres sont des occasions d'apprentissage. (Dalaï Lama)

Hors ligne

#16 Le 11/12/2021, à 11:21

iznobe

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

Salut , comme quoi , en faisant un effort ( de lecture ) parfois on arrive a faire ce qu ' on veut , sont pas si betes que ca finalement ces développeurs ( ceux d' ubuntu )  hein tongue .

tu peux aussi changer a nouveau le titre du post donc big_smile

Dernière modification par iznobe (Le 11/12/2021, à 11:22)


retour utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#17 Le 13/12/2021, à 09:46

noje

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

iznobe a écrit :

tu peux aussi changer a nouveau le titre du post donc big_smile

Ce n’est pas moi l’auteur du post, donc non impossible big_smile


- LTS 18.04 & 22.04 - jwm - cwm - zsh

Les seules vraies erreurs sont celles que nous commettons à répétition.
Les autres sont des occasions d'apprentissage. (Dalaï Lama)

Hors ligne

#18 Le 22/12/2021, à 09:48

gato456

Re : [RESOLU] Reset des permissions de /var/log/syslog au boot

Vaï vaï vaï .... mais c'est Noël ou quoi big_smile ?
Remarque oui, c'est l'époque ...

J'ai bien l'impression que tu as mis le doigt là où il faut noje
Je ne suis pas en capacité de fouiller le sujet avant la semaine prochaine, mais ça sent fichtrement bon

Et tout simplement, je ne connaissais pas cette fonctionnalité. Merci

Je m'avance un peu, mais du coup je passe le thread en RESOLU ... quitte à le rechanger si nécessaire

Hors ligne