Schreibzugriff vom User auf Logfile (Dovecot) erledigt Danke

[Dilbert]

Moin,

wie sollte ich den Schreibzugriff der "normalen" Benutzer auf /var/log/dovecot.log am sinnvollsten gestalten?
Hintergrund:
Die Deliver Funktion von Dovecot eingebunden in procmail läuft nur wenn das Logfile zum schreiben offen ist.
Ich möchte den Useren jetzt aber nicht Screibrechte auf /var/log geben.

Einzige Alternative die mir zur Zeit einfällt ist ein /var/local/log zu erstellen und das dovecot.log dort ablegen und die Zugriffsrechte entsprechend zu setzten.

Hat jemand ne bessere Idee?

Gruß Dilbert

 

[Florian88]

Muessen denn alle Benutzer Schreibzugriff auf /var/log/dovecot.log haben oder nur ein bestimmter Benutzer, z.B. Dovecot?

Wo siehst du denn den Sicherheitsvorteil, wenn du dovecot.log nach /var/local/log legst? Du brauchst doch nicht Benutzern Schreibzugriff fuer ganz /var/log zu geben, sondern nur fuer /var/log/dovecot.log oder habe ich da etwas uebersehen?

Ausserdem koenntest du probieren, dass sappend-Flag fuer dovecot.log zu setzen. Dann koennen die Benutzer lediglich Dateien an das Log-File anhaengen, aber nichts bestehendes aendern oder loeschen. Allerdings kann es sein, je nach dem wie Dovecot auf die Log-Datei zugreift, dass es zu Problemen mit dem Loging kommt. Das solltest du aber schnell ausprobiert haben.

 

[Dilbert]

Klarer Fall von Denkfehler meinerseits.
Selbstredend gehts auch mit dem Schreibzugriff auf /var/log/dovecot.log für die User.

Danke für die Nackenschläge.
Das mit dem sappend-Flag zur Absicherung schau ich mir nochmal an.

 

[Florian88]

Falls du das sappend-Flag ausprobierst, sag mal bitte bescheid, ob es funktioniert hat.

Danke.

Gruss Florian

 

[Crest]

Es gibt die extended Flags d.h. auch append only auch für User damit sollte es root (also auch syslog) frei stehen das Log noch immer zu rotieren während die User nur anhängen dürfen.