Eu instalei nxlogpara enviar meus logs para um servidor graylog. Funciona bem, mas tenho permissão negada nos logs do meu HIDS Ossec.
Meu processo nxlog(lançado pelo coletor-sidecar) é executado como root:
# ps -ef | grep collector
root 1869 1 0 13:23 ? 00:00:03 /usr/bin/graylog-collector-sidecar
root 1905 1869 0 13:23 ? 00:00:29 /usr/bin/nxlog -f -c /etc/graylog/collector-sidecar/generated/nxlog.conf
No nxlog.conf, eu tenho:
User root
Group adm
Os direitos nos logs OSSEC são os seguintes ( ossec:ossecpara /var/ossec/logs):
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- ossec ossec logs
-rw-r--r-- root ossec active-responses.log
Assim, o usuário ossece os membros do grupo OSSECpodem ler este arquivo (eu acho).
Adicionei a raiz ao grupo ossec :
# id
uid=0(root) gid=0(root) groupes=0(root),1005(ossec)
Testei reiniciando meu servidor, mas li nos logs do nxlog:
ERROR apr_stat failed on file /var/ossec/logs/active-responses.log;Permission denied
Quando eu vou para rooto diretório /var/ossec/logspara ter:
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- root ossec logs
-rw-r--r-- root ossec active-responses.log
Então, por que quando coloco rootno ossecgrupo, meu nxlogprocesso não consegue ler esse arquivo?
Responder1
Você pode tentar remover User rootdo seu nxlog.conf? Ele ainda estará funcionando como root. Afair, houve um bug com isso no CE.