Bug 2920 - wrong permissions for /var/log/httpd
: wrong permissions for /var/log/httpd
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/apache)
: unstable
: all Linux
: P2 major
Assigned To:
:
:
:
:
: 2945
  Show dependency tree
 
Reported: 2003-09-01 20:17 by
Modified: 2005-02-10 12:11 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2003-09-01 20:17:54
Вариант для Master содержит всё ту же "мину" в скриптах запуска:

httpd.init.Master, httpd-perl.init.Master (apache-1.3.28rusPL30.18-alt1):

### Hacks for the broken MSEC
if [ -e /var/www ]; then chmod 0755 /var/www;fi
chown apache.apache /var/log/httpd
chmod 750 /var/log/httpd
###                                                                             

В Master 2.2 msec уже не было - это старые обломки. А вот противоречие ALT
Secure Packaging Policy налицо.

Вообще стоит разобраться с этими правами поподробнее - похоже, самому Apache
право записи туда от пользователя/группы apache не нужно, т.к. все логи
открываются на первой стадии инициализации сервера, ещё с правами root. На
вопрос по этому поводу в devel, заданный ещё 30 мая, никто не ответил :-(
------- Comment #1 From 2003-09-01 20:32:50 -------
да, собирался выкинуть -- собственно, из httpd*.init.Sisyphus и выкинул -- из
старого не успел.

выкидываю из *.Master, а вот с логами отдельный разговор -- субъективно, хорошо
бы завести группу webmaster и в т.ч. r-x на /var/log/httpd ей и отдать.

но для alt2 этого мало, если сегодня не успеют выложить alt1 -- обновлю его и
залью -- не хотелось бы оставлять на виду (--lastchange, в т.ч. на вебе) вершки
при необходимости корешков (changes in alt1).
------- Comment #2 From 2003-09-01 20:52:17 -------
Вот именно группу для доступа к логам я и имел в виду. Но если это будет
webmaster, получится, что webalizer и т.п. нужно добавлять туда, что
недопустимо
- тогда они получат право записи в /var/www/{html,cgi-bin}, ...
------- Comment #3 From 2003-09-02 14:40:20 -------
Багрепорт разделился на два.  Первый надо бы закрыть (fixed), а по второму
давайте переедем в #2921?
------- Comment #4 From 2003-09-03 14:10:20 -------
1.3.28-alt2:

- %_logdir/httpd permissions changed (#2920)
  from 3770,root,%apache_group
  to    750,root,%apache_webmaster
------- Comment #5 From 2003-09-04 15:25:03 -------
*** Bug 2464 has been marked as a duplicate of this bug. ***
------- Comment #6 From 2004-02-07 19:21:19 -------
Это тоже неправильно - я же писал, что группа webmaster для этого не подходит
(программам обработки логов ни к чему права записи по всему /var/www/html, за
исключением специально отведённого для них места).
------- Comment #7 From 2004-06-27 23:38:21 -------
Откатываю группу %_logdir/httpd на %apache_group в 1.3.31rusPL30.20-alt5; на
контент-каталоги остается %apache_webmaster, вот думаю, делать ли "исправлялку"
в %post или ну его нафиг -- такого вида:

find %_logdir/httpd -group %apache_webmaster -print0 | xargs -0 chgrp
%apache_group

Кто что скажет?
------- Comment #8 From 2004-06-28 01:40:13 -------
в общем, fixed in 1.3.31rusPL30.20-alt5
------- Comment #9 From 2004-06-28 01:51:58 -------
Возможно, я несколько запоздал, но у меня тоже есть пожелания по раскладке прав
в
apache-common:
%attr(750,root,webmaster) %dir /etc/httpd/conf
%defattr(644,root,webmaster,2775)
/var/www/icons

Да, и
%attr(750,root,webmaster) %dir /var/log/httpd
лично меня вполне устраивает.
------- Comment #10 From 2004-07-22 09:34:33 -------
(In reply to comment #9)
> Возможно, я несколько запоздал, но у меня тоже есть пожелания по раскладке прав в
> apache-common:
> %attr(750,root,webmaster) %dir /etc/httpd/conf
> %defattr(644,root,webmaster,2775)
> /var/www/icons

Принято.

> Да, и
> %attr(750,root,webmaster) %dir /var/log/httpd
> лично меня вполне устраивает.

См. #2.  Я благополучно нашел с/х инструмент, когда так сделал с год назад.

Собираю 1.3.31rusPL30.20-alt7.
------- Comment #11 From 2004-07-22 10:01:04 -------
в смысле "fixed in alt8"