Разрешение отклонено в файле журнала

Question

Я хочу иметь возможность просматривать файлы журналов из Apache как обычный пользователь. Я установил эти файлы на 777 как root, но все еще не могу просмотреть их как обычный пользователь, почему это так?

#I have set permissions for everyone
root@senior:/var/log/apache2# ls -l
total 200
-rwxrwxrwx 1 root root   1951 Feb 27 23:07 access.log
-rwxrwxrwx 1 root root  89508 Feb 27 23:07 error.log
-rwxrwxrwx 1 root root 101601 Feb 27 23:06 other_vhosts_access.log

#I have also set directory permission 
root@senior:/var/log# ls -l
drw-rw-r-- 2 root        adm          4096 Feb 27 23:08 apache2

Но все равно не могу просмотреть файлы

kubi@senior:$ ls -l /var/log/apache2/
ls: cannot access /var/log/apache2/other_vhosts_access.log: Permission denied
ls: cannot access /var/log/apache2/error.log: Permission denied
ls: cannot access /var/log/apache2/access.log: Permission denied
total 0
-????????? ? ? ? ?            ? access.log
-????????? ? ? ? ?            ? error.log
-????????? ? ? ? ?            ? other_vhosts_access.log
kubi@senior:/$ ls /var/log/apache2/error.log
ls: cannot access /var/log/apache2/error.log: Permission denied

Я работаю в Debian

Answer 1

Каталог должен быть 750 , а не 664 . Также вы должны добавить пользователя в группу adm . Это на самом деле во многом суть группы adm : чтение журналов.

Права доступа к каталогам немного отличаются от прав доступа к файлам. Чтобы упростить связку, каталог представляет собой список имен и адресов: имя - это имя файла, адрес - это фактическое местоположение файла. Разрешение x контролирует доступ к этому списку: для поиска адреса определенного файла вам необходим бит выполнения в его родительском каталоге, а также в родительском каталоге этого каталога и т.д. Разрешение r затем управляет списком файлов: если у вас есть --x , вы можете получить доступ к файлу, если знаете его имя, но не можете ls . Наконец, w контролирует создание, переименование и удаление файлов. Итак, для доступа к файлу вам всегда нужен бит x .

Также: НЕ устанавливайте файлы журналов на 777. Они должны быть 644 или 640, один из двух. Две причины: во-первых, они не исполняются, поэтому бит x должен быть отключен. Во-вторых, что более важно, обычные пользователи никогда не должны писать в файлы журнала Apache, а только читать. Это потенциальная дыра в безопасности на сервере.

Answer 2

Вам необходимо установить флаг выполнения для каталогов, чтобы иметь возможность перечислять содержащиеся в них файлы.

Но лучшим решением будет не изменение прав доступа к файлам, а добавление пользователя в группу администраторов (adm).