서비스 계정에 속한 파일로 작업할 때 sudo 사용을 피하는 방법은 무엇입니까?

서비스 계정에 속한 파일로 작업할 때 sudo 사용을 피하는 방법은 무엇입니까?

webapp이라는 서비스의 로그/파일을 보는 가장 좋은 방법이 무엇인지 궁금합니다. 웹 애플리케이션은 자체 사용자 및 그룹으로 실행되므로 필요한 모든 파일은 webapp:webapp의 소유입니다.

내 서버에 ssh로 연결하는 경우 로그를 추적하려면(전 세계에서 읽을 수 없기 때문에) sudo를 수행해야 하는데, 이를 방지하고 싶습니다.

이 로그 파일의 그룹을 휠 또는 내가 속한 다른 그룹으로 변경해야 합니까, 아니면 웹앱 그룹에서 내 사용자 멤버십을 부여해야 합니까? 아니면 다른 것입니까?

답변1

방법은 다양합니다. "webapp" 그룹의 일원이 되는 것과 같은 몇 가지 예를 수행했습니다. 또 다른 방법은 ACL을 사용하여 사용자에게 디렉터리 및 파일에 대한 액세스 권한을 부여하는 것입니다.

답변2

글쎄, 당신은 당신 자신의 질문에 대답했습니다.

실제로 사용 사례에 따라 다릅니다. 그룹에 사용자를 추가해도 부작용이 없다면 webapp(예: 그룹 쓰기 가능한 파일이나 사용자가 액세스할 수 없는 비밀번호가 있는 민감한 파일 등) 이것이 기본 선택이 될 것입니다. 애플리케이션이 위험에 빠지지 않을 것입니다( 또는 cron, logrotate 등과 같은 관련 항목(스크립트)이 그룹 변경으로 인해 중단되면 어떤 사용자가 무엇에 액세스할 수 있는지 쉽게 확인할 수 있습니다.

관련 정보