acceso journalctl para usuarios no root

12

La documentación de journald dice que agregar un usuario al grupo 'systemd-journal' o al grupo 'adm' le permite al usuario acceder al diario de todo el sistema.

Estoy ejecutando el último CentOS 7 y parece que tengo problemas para acceder al diario como usuario no root.

Aquí está mi configuración:

$ id
uid=1000(centos) gid=1000(centos) groups=1000(centos),4(adm),10(wheel),190(systemd-journal) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

$ cat /etc/systemd/journald.conf
[Journal]
Storage=persistent

$ journalctl
-- Logs begin at Sat 2015-08-29 16:35:52 UTC, end at Sat 2015-08-29 17:28:47 UTC. --
Aug 29 16:35:52 hostname ... <log continues>

No hay registros del sistema en la salida de journalctl. Aquí está mi configuración de permisos:

$ ll -a /var/log/journal/f9afeb75a5a382dce8269887a67fbf58/
total 24592
drwxr-xr-x. 2 root root     4096 Aug 29 16:35 .
drwxr-xr-x. 3 root root     4096 Aug 29 17:28 ..
-rw-r-----. 1 root root 16777216 Aug 29 17:27 system.journal
-rw-r-----+ 1 root root  8388608 Aug 29 17:33 user-1000.journal

Si cambio el grupo de propiedad system.journala systemd-journaltodo funciona bien. Sin embargo, esto no parece correcto, ya que la documentación no dice nada al respecto.

¿Me falta algo o es necesario cambiar manualmente el grupo del system.journalarchivo?

Gracias

michal kralik
fuente

Respuestas:

6

La solución es cambiar la propiedad del grupo y agregar un bit fijo a la carpeta principal antes de .journalcrear los archivos.

chown :systemd-journal /var/log/journal/f9afeb75a5a382dce8269887a67fbf58
chmod g+s /var/log/journal/f9afeb75a5a382dce8269887a67fbf58
michal kralik
fuente
Esto journalctlme funciona, pero no ve todo el mensaje que la raíz puede ver ...
Gert van den Berg
@GertvandenBerg intente comprobar si los archivos existentes son legibles systemd-journal. Los comandos publicados aquí se aseguraron de que solo los archivos nuevos sean legibles, no los existentes.
michal kralik
En la configuración de Ubuntu, el permiso era correcto ... La salida de journalctl como root incluye todos los servicios, mientras que parece que un usuario normal en el grupo systemd-journal solo puede ver mensajes relacionados con el arranque ... (Pero eso podría se ha relacionado con no iniciar sesión nuevamente para iniciar sesión en el nuevo grupo, ahora se ve bien ...)
Gert van den Berg