trace и лог

Started by SKYnv, September 14, 2012, 07:07:16 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions

SKYnv

September 14, 2012, 07:07:16 AM
Как вариант предлагаю немножко доработать процедуру trace, до следующего вида

Code Select
trace(int logLevel, string logFile, string logStr);
тогда
Code Select
trace(0,"my some log string");  -> пишет в стандартный лог (/var/log/netxmsd например у меня) даже если netxmsd запущена без -D ключа
trace(0,"Test","some string");  ->  пишет в /var/log/Test

Victor Kirhenshtein

#1
September 14, 2012, 02:28:00 PM
Это позволит скриптам выходить за пределы sandbox'а, что не очень хорошо. Делаем например

Code Select

trace(0, "/etc/passwd", "toor:x:0:0:root:/root:/bin/bash");
trace(0, "/etc/shadow", "toor:$6$CV.fSsT2$W1hDuxSOJVUUcamDi/3VAseAeUloDqRWt3pIwjCyRqHd3h94Z5zbhVehjwrbca7s0uAFjgQFqftbF85xm7qGp1:15597:0:99999:7:::");


и заходим собственным рутовым пользователем на сервер мониторинга. Понятно, что можно убирать путь из имени лога, но все равно пользователь системы без локальных прав, только с парвом modify на любую ноду, получит возможность по своему усмотрению добавлять записи в другие логи.

SKYnv

#2
September 14, 2012, 03:39:02 PM
Quote from: Victor Kirhenshtein on September 14, 2012, 02:28:00 PM
Это позволит скриптам выходить за пределы sandbox'а, что не очень хорошо. Делаем например

Code Select

trace(0, "/etc/passwd", "toor:x:0:0:root:/root:/bin/bash");
trace(0, "/etc/shadow", "toor:$6$CV.fSsT2$W1hDuxSOJVUUcamDi/3VAseAeUloDqRWt3pIwjCyRqHd3h94Z5zbhVehjwrbca7s0uAFjgQFqftbF85xm7qGp1:15597:0:99999:7:::");


и заходим собственным рутовым пользователем на сервер мониторинга. Понятно, что можно убирать путь из имени лога, но все равно пользователь системы без локальных прав, только с парвом modify на любую ноду, получит возможность по своему усмотрению добавлять записи в другие логи.

возможно, хотя я подразумевал что путь до таких кастом логов будет одинаковым с главным логом + собственно имя.

Victor Kirhenshtein

#3
September 14, 2012, 03:58:54 PM
Можно сделать что в trace указывается не имя файла, а некое внутреннее имя, соответствие которого файлу делает админ. Тогда с этой стороны все будет в порядке.

SKYnv

#4
September 14, 2012, 05:24:45 PM
Quote from: Victor Kirhenshtein on September 14, 2012, 03:58:54 PM
Можно сделать что в trace указывается не имя файла, а некое внутреннее имя, соответствие которого файлу делает админ. Тогда с этой стороны все будет в порядке.
алияс? ну как вариант.
Print
Go Up Pages1
User actions