Раздражает неимоверно, да и, предположу, добавит головной боли саппорту (любому) -- так зачем бы ? --
02.02.2022 21:57, Sergey Bolshakov пишет:
> Раздражает неимоверно, да и, предположу, добавит
> головной боли саппорту (любому) -- так зачем бы ?
А чем именно раздражает? Вполне разумное ограничение. Простому юзеру
можно разрешить через sudo, если очень надо, да и вообще не нужны ему
эти сообщения. Туда же капают и события безопасности, в т.ч. о
запускаемых программах и их параметрах.
--
Best regards,
Leonid Krivoshein.
[-- Attachment #1: Type: text/plain, Size: 920 bytes --] On Wed, 2 Feb 2022 22:47:49 +0300 Leonid Krivoshein wrote: > > 02.02.2022 21:57, Sergey Bolshakov пишет: > > Раздражает неимоверно, да и, предположу, добавит > > головной боли саппорту (любому) -- так зачем бы ? > > А чем именно раздражает? Вполне разумное ограничение. Простому юзеру > можно разрешить через sudo, если очень надо, да и вообще не нужны ему > эти сообщения. Туда же капают и события безопасности, в т.ч. о > запускаемых программах и их параметрах. Вот именно. Там вообще может быть trace с критически важной информацией. Best regards, Andrew Savchenko [-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --]
>>>>> "Leonid" == Leonid Krivoshein <klark.devel-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:
> 02.02.2022 21:57, Sergey Bolshakov пишет:
>> Раздражает неимоверно, да и, предположу, добавит
>> головной боли саппорту (любому) -- так зачем бы ?
> А чем именно раздражает? Вполне разумное ограничение. Простому юзеру можно
> разрешить через sudo, если очень надо, да и вообще не нужны ему эти сообщения.
> Туда же капают и события безопасности, в т.ч. о запускаемых программах и их
> параметрах.
Что-то такое я предполагал, да. Что ж, наверное мне не стоит упоминать,
что journalctl -k покажет ровно всё то же самое, безо всякого sudo OHSHI~
--
On Wed, Feb 02, 2022 at 11:53:10PM +0300, Sergey Bolshakov wrote:
> >>>>> "Leonid" == Leonid Krivoshein <klark.devel-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:
>
> > 02.02.2022 21:57, Sergey Bolshakov пишет:
> >> Раздражает неимоверно, да и, предположу, добавит
> >> головной боли саппорту (любому) -- так зачем бы ?
>
> > А чем именно раздражает? Вполне разумное ограничение. Простому юзеру можно
> > разрешить через sudo, если очень надо, да и вообще не нужны ему эти сообщения.
> > Туда же капают и события безопасности, в т.ч. о запускаемых программах и их
> > параметрах.
>
> Что-то такое я предполагал, да. Что ж, наверное мне не стоит упоминать,
> что journalctl -k покажет ровно всё то же самое, безо всякого sudo OHSHI~
$ journalctl -k
bash: journalctl: command not found
Если серьёзно, то возможно это повод пересмотреть политику разрешения
просмотра системного журнала непривилегированным пользователям.
--
WBR,
Vladimir D. Seleznev
On Wed, Feb 02, 2022 at 11:53:10PM +0300, Sergey Bolshakov wrote:
> >>>>> "Leonid" == Leonid Krivoshein <klark.devel-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:
>
> > 02.02.2022 21:57, Sergey Bolshakov пишет:
> >> Раздражает неимоверно, да и, предположу, добавит
> >> головной боли саппорту (любому) -- так зачем бы ?
>
> > А чем именно раздражает? Вполне разумное ограничение. Простому юзеру можно
> > разрешить через sudo, если очень надо, да и вообще не нужны ему эти сообщения.
> > Туда же капают и события безопасности, в т.ч. о запускаемых программах и их
> > параметрах.
>
> Что-то такое я предполагал, да. Что ж, наверное мне не стоит упоминать,
> что journalctl -k покажет ровно всё то же самое, безо всякого sudo OHSHI~
$ journalctl -k
Hint: You are currently not seeing messages from other users and the system.
Users in groups 'adm', 'systemd-journal', 'wheel' can see all messages.
На мой взгляд, настройки слишком либеральные, но даже с ними не всем
показывают. Было бы логичным, если бы можно было в runtime настроить gid,
которому можно смотреть dmesg.
--
ldv
On 2022-02-02 22:47:49 +0300, Leonid Krivoshein wrote: >> Раздражает неимоверно, да и, предположу, добавит >> головной боли саппорту (любому) -- так зачем бы ? > А чем именно раздражает? Вполне разумное ограничение. Ничего разумного в нем нет, а желающим "бизапаснасти" могу предложить chmod 600 /dev/kmsg > Простому юзеру можно разрешить через sudo, если очень > надо, В грамотно настроенной системе sudo вообще не должно быть. > да и вообще не нужны ему эти сообщения. Это кто так решил? > Туда же капают и события безопасности, в т.ч. о запускаемых > программах и их параметрах. И почему же такая важная (sensitive) информация утекает в kmsg, а не отдается доверенным смотрелкам логов через netlink? :-) -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
On 2022-02-03 00:01:23 +0300, Dmitry V. Levin wrote: > На мой взгляд, настройки слишком либеральные, но даже с ними > не всем показывают. Было бы логичным, если бы можно было в > runtime настроить gid, которому можно смотреть dmesg. Можно, разрешаю: chown root:wheel /dev/kmsg && chmod 640 /dev/kmsg -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
On Thu, Feb 03, 2022 at 12:50:52AM +0300, Alexey V. Vissarionov wrote:
> On 2022-02-02 22:47:49 +0300, Leonid Krivoshein wrote:
>
> >> Раздражает неимоверно, да и, предположу, добавит
> >> головной боли саппорту (любому) -- так зачем бы ?
> > А чем именно раздражает? Вполне разумное ограничение.
>
> Ничего разумного в нем нет, а желающим "бизапаснасти"
> могу предложить chmod 600 /dev/kmsg
Как насчёт системного вызова syslog?
--
ldv
On 2022-02-03 01:15:48 +0300, Dmitry V. Levin wrote: >>>> Раздражает неимоверно, да и, предположу, добавит >>>> головной боли саппорту (любому) -- так зачем бы ? >>> А чем именно раздражает? Вполне разумное ограничение. >> Ничего разумного в нем нет, а желающим "бизапаснасти" >> могу предложить chmod 600 /dev/kmsg > Как насчёт системного вызова syslog? С ним как раз все хорошо. Вот без него намного хуже, ага. Ну и /proc/sys/kernel/dmesg_restrict никто не отменял. -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
On Thu, Feb 03, 2022 at 01:27:25AM +0300, Alexey V. Vissarionov wrote:
> On 2022-02-03 01:15:48 +0300, Dmitry V. Levin wrote:
>
> >>>> Раздражает неимоверно, да и, предположу, добавит
> >>>> головной боли саппорту (любому) -- так зачем бы ?
> >>> А чем именно раздражает? Вполне разумное ограничение.
> >> Ничего разумного в нем нет, а желающим "бизапаснасти"
> >> могу предложить chmod 600 /dev/kmsg
> > Как насчёт системного вызова syslog?
>
> С ним как раз все хорошо. Вот без него намного хуже, ага.
>
> Ну и /proc/sys/kernel/dmesg_restrict никто не отменял.
О том и речь:
The kernel config option ``CONFIG_SECURITY_DMESG_RESTRICT`` sets the
default value of ``dmesg_restrict``.
--
ldv