acesso journalctl para usuários não raiz

12

A documentação do journald diz que adicionar um usuário ao grupo 'systemd-journal' ou ao grupo 'adm' permite que o usuário acesse o diário em todo o sistema.

Estou executando o último CentOS 7 e parece ter problemas para acessar o diário como um usuário não root.

Aqui está a minha configuração:

$ id
uid=1000(centos) gid=1000(centos) groups=1000(centos),4(adm),10(wheel),190(systemd-journal) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

$ cat /etc/systemd/journald.conf
[Journal]
Storage=persistent

$ journalctl
-- Logs begin at Sat 2015-08-29 16:35:52 UTC, end at Sat 2015-08-29 17:28:47 UTC. --
Aug 29 16:35:52 hostname ... <log continues>

Não há logs do sistema na saída do journalctl. Aqui está a minha configuração de permissões:

$ ll -a /var/log/journal/f9afeb75a5a382dce8269887a67fbf58/
total 24592
drwxr-xr-x. 2 root root     4096 Aug 29 16:35 .
drwxr-xr-x. 3 root root     4096 Aug 29 17:28 ..
-rw-r-----. 1 root root 16777216 Aug 29 17:27 system.journal
-rw-r-----+ 1 root root  8388608 Aug 29 17:33 user-1000.journal

Se eu mudar o grupo de proprietários de system.journalpara systemd-journaltudo funciona bem. No entanto, isso não parece correto, pois a documentação não diz nada sobre isso.

Falta alguma coisa ou é realmente necessário alterar manualmente o grupo do system.journalarquivo?

Obrigado

michal kralik
fonte

Respostas:

6

A solução é alterar a propriedade do grupo e adicionar um pedaço fixo à pasta pai antes que os .journalarquivos sejam criados.

chown :systemd-journal /var/log/journal/f9afeb75a5a382dce8269887a67fbf58
chmod g+s /var/log/journal/f9afeb75a5a382dce8269887a67fbf58
michal kralik
fonte
Isto torna-se journalctla trabalhar para mim, mas ele não ver toda a mensagem que o root pode ver ...
Gert van den Berg
@GertvandenBerg tente verificar se os arquivos existentes são legíveis por systemd-journal. Os comandos postados aqui garantiram que apenas novos arquivos sejam legíveis, e não existentes.
22819 michal kralik
Na configuração do Ubuntu, a permissão estava correta ... A saída do journalctl como raiz inclui todos os serviços, enquanto parece que um usuário normal no grupo systemd-journal pode apenas ver mensagens relacionadas à inicialização .... (Mas isso pode tem sido relacionada a não efetuar login novamente para fazer login no novo grupo - ele parece estar bom agora ...)
Gert van den Berg