Bug 2920

Summary: wrong permissions for /var/log/httpd
Product: Sisyphus Reporter: Sergey Vlasov <vsu>
Component: apacheAssignee: Alexander Bokovoy <ab>
Status: CLOSED FIXED QA Contact:
Severity: major    
Priority: P2 CC: at, cas, crux, ender, lakostis, ldv, mike, mithraen, pilot, qa_viy, rider, shaba, solo, ujo, viy
Version: unstable   
Hardware: all   
OS: Linux   
Bug Depends on:    
Bug Blocks: 2945    

Description Sergey Vlasov 2003-09-01 20:17:54 MSD 
Вариант для Master содержит всё ту же "мину" в скриптах запуска:

httpd.init.Master, httpd-perl.init.Master (apache-1.3.28rusPL30.18-alt1):

### Hacks for the broken MSEC
if [ -e /var/www ]; then chmod 0755 /var/www;fi
chown apache.apache /var/log/httpd
chmod 750 /var/log/httpd
###                                                                             

В Master 2.2 msec уже не было - это старые обломки. А вот противоречие ALT
Secure Packaging Policy налицо.

Вообще стоит разобраться с этими правами поподробнее - похоже, самому Apache
право записи туда от пользователя/группы apache не нужно, т.к. все логи
открываются на первой стадии инициализации сервера, ещё с правами root. На
вопрос по этому поводу в devel, заданный ещё 30 мая, никто не ответил :-(
Comment 1 Michael Shigorin 2003-09-01 20:32:50 MSD 
да, собирался выкинуть -- собственно, из httpd*.init.Sisyphus и выкинул -- из
старого не успел.

выкидываю из *.Master, а вот с логами отдельный разговор -- субъективно, хорошо
бы завести группу webmaster и в т.ч. r-x на /var/log/httpd ей и отдать.

но для alt2 этого мало, если сегодня не успеют выложить alt1 -- обновлю его и
залью -- не хотелось бы оставлять на виду (--lastchange, в т.ч. на вебе) вершки
при необходимости корешков (changes in alt1).
Comment 2 Sergey Vlasov 2003-09-01 20:52:17 MSD 
Вот именно группу для доступа к логам я и имел в виду. Но если это будет
webmaster, получится, что webalizer и т.п. нужно добавлять туда, что недопустимо
- тогда они получат право записи в /var/www/{html,cgi-bin}, ...
Comment 3 Michael Shigorin 2003-09-02 14:40:20 MSD 
Багрепорт разделился на два.  Первый надо бы закрыть (fixed), а по второму
давайте переедем в #2921?
Comment 4 Michael Shigorin 2003-09-03 14:10:20 MSD 
1.3.28-alt2:

- %_logdir/httpd permissions changed (#2920)
  from 3770,root,%apache_group
  to    750,root,%apache_webmaster
Comment 5 Michael Shigorin 2003-09-04 15:25:03 MSD 
*** Bug 2464 has been marked as a duplicate of this bug. ***
Comment 6 Sergey Vlasov 2004-02-07 19:21:19 MSK 
Это тоже неправильно - я же писал, что группа webmaster для этого не подходит
(программам обработки логов ни к чему права записи по всему /var/www/html, за
исключением специально отведённого для них места).
Comment 7 Michael Shigorin 2004-06-27 23:38:21 MSD 
Откатываю группу %_logdir/httpd на %apache_group в 1.3.31rusPL30.20-alt5; на
контент-каталоги остается %apache_webmaster, вот думаю, делать ли "исправлялку"
в %post или ну его нафиг -- такого вида:

find %_logdir/httpd -group %apache_webmaster -print0 | xargs -0 chgrp %apache_group

Кто что скажет?
Comment 8 Michael Shigorin 2004-06-28 01:40:13 MSD 
в общем, fixed in 1.3.31rusPL30.20-alt5
Comment 9 Dmitry V. Levin 2004-06-28 01:51:58 MSD 
Возможно, я несколько запоздал, но у меня тоже есть пожелания по раскладке прав в
apache-common:
%attr(750,root,webmaster) %dir /etc/httpd/conf
%defattr(644,root,webmaster,2775)
/var/www/icons

Да, и
%attr(750,root,webmaster) %dir /var/log/httpd
лично меня вполне устраивает.
Comment 10 Michael Shigorin 2004-07-22 09:34:33 MSD 
(In reply to comment #9)
> Возможно, я несколько запоздал, но у меня тоже есть пожелания по раскладке прав в
> apache-common:
> %attr(750,root,webmaster) %dir /etc/httpd/conf
> %defattr(644,root,webmaster,2775)
> /var/www/icons

Принято.

> Да, и
> %attr(750,root,webmaster) %dir /var/log/httpd
> лично меня вполне устраивает.

См. #2.  Я благополучно нашел с/х инструмент, когда так сделал с год назад.

Собираю 1.3.31rusPL30.20-alt7.
Comment 11 Michael Shigorin 2004-07-22 10:01:04 MSD 
в смысле "fixed in alt8"