Permisos de archivos de Linux denegados en archivos de registro

Permisos de archivos de Linux denegados en archivos de registro

Lo he instalado nxlogpara enviar mis registros a un servidor Graylog. Funciona bien, pero se me ha denegado el permiso en los registros de mi HIDS Ossec.

Mi proceso nxlog(iniciado por el colector-sidecar) se ejecuta como root:

# ps -ef | grep collector
root      1869     1  0 13:23 ?        00:00:03 /usr/bin/graylog-collector-sidecar
root      1905  1869  0 13:23 ?        00:00:29 /usr/bin/nxlog -f -c /etc/graylog/collector-sidecar/generated/nxlog.conf

En el nxlog.conf, tengo:

User root
Group adm

Los derechos sobre los registros OSSEC son los siguientes ( ossec:ossecpara /var/ossec/logs):

# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root  root  /
drwxr-xr-x root  root  var
dr-xr-x--- root  ossec ossec
drwxr-x--- ossec ossec logs
-rw-r--r-- root  ossec active-responses.log

Entonces, el usuario ossecy los miembros del grupo OSSECpueden leer este archivo (creo).

Agregué la raíz al grupo ossec:

# id
uid=0(root) gid=0(root) groupes=0(root),1005(ossec)

Probé reiniciando mi servidor pero leí en los registros de nxlog:

ERROR apr_stat failed on file /var/ossec/logs/active-responses.log;Permission denied

Cuando accedí al rootdirectorio /var/ossec/logspara tener:

# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root  /
drwxr-xr-x root root  var
dr-xr-x--- root ossec ossec
drwxr-x--- root ossec logs
-rw-r--r-- root ossec active-responses.log

Entonces, ¿por qué cuando ingreso rootal ossecgrupo, mi nxlogproceso no puede leer este archivo?

Respuesta1

¿Puedes intentar eliminarlo User rootde tu nxlog.conf? Seguirá funcionando como root. Es cierto que hubo un error con esto en el CE.

información relacionada