サービスアカウントに属するファイルで作業するときにsudoを使用しないようにするにはどうすればよいですか?

サービスアカウントに属するファイルで作業するときにsudoを使用しないようにするにはどうすればよいですか?

webappというサービスのログ/ファイルを見るための最良の方法は何ですか? Webアプリケーションは独自のユーザーとグループで実行されるため、必要なファイルはすべてwebapp:webappの所有です。

私のサーバーにsshで接続している場合、ログを追跡するには(世界中で読むことができないため)sudoを実行する必要がありますが、これを回避したいと思います。

このログファイルのグループをホイールまたは他のグループに変更する必要がありますか、またはWebアプリグループに自分のユーザーメンバーシップを付与する必要がありますか?それとも別のものですか?

答え1

方法はさまざまです。 「webapp」グループのメンバーになるなど、いくつかの例を実行しました。もう1つの方法は、ACLを使用してユーザーにディレクトリとファイルへのアクセスを許可することです。

答え2

まあ、あなたはあなた自身の質問に答えました。

実際、ユースケースによって異なります。グループにユーザーを追加しても副作用がない場合webapp(たとえば、グループ書き込み可能ファイルやユーザーがアクセスできないパスワードを持つ機密ファイルなど)、これはデフォルトの選択です。アプリケーションが危険にさらされることはありません(またはcron、logrotateなどの関連項目(スクリプト)がグループの変更によって中断された場合、どのユーザーが何にアクセスできるかを簡単に確認できます。

関連情報