staging.inyokaproject.org

man journalctl

All users are granted access to their private per-user journals. However, by default, only root and users who are members of a few special groups are granted access to the system journal and the journals of other users. Members of the groups "systemd-journal", "adm", and "wheel" can read all journal files. Note that the two latter groups traditionally have additional privileges specified by the distribution. Members of the "wheel" group can often perform administrative tasks.

Letztlich ist das nichts halbes und nichts ganzes. Entweder man verlangt Root-Rechte dann sollte man eigentlich auch das Passwort verlangen. Oder eben nicht.

Aber traditionell durfte immer jeder ins dmesg schauen. Das wurde mehr aus Prinzip geändert als aus tatsächlich relevanten Sicherheitsbedenken.

Man weicht den Anspruch "nur für root" also wieder auf einfach weil das ziemlich unpraktisch ist im Alltag. Auf meinem System habe ich dmesg einfach wieder freigeschaltet und gut.

Natürlich gibt es Fälle wo man das auch komplett deaktiviert haben möchte und nicht mal die Prozessliste einsehbar ist. Da macht das schon eher Sinn. Na ja, anderes Thema.

Hallo,

der beschränkte Zugriff stimmt Ubuntu. Wenn man als unpreviligierter Nutzer

journalctl --dmesg 

aufruft bekommt man als Ausgabe:

Hint: You are currently not seeing messages from other users and the system.
      Users in groups 'adm', 'systemd-journal' can see all messages.
      Pass -q to turn off this notice.
-- No entries --

Der Aufruf

journalctl 

ergibt eines Ausgabe, nämlich die eigenen Logs.

Gruß, noisefloor

noisefloor schrieb:

Hallo,

der beschränkte Zugriff stimmt Ubuntu. Wenn man als unpreviligierter Nutzer

journalctl --dmesg 

aufruft bekommt man als Ausgabe:

Hint: You are currently not seeing messages from other users and the system.
      Users in groups 'adm', 'systemd-journal' can see all messages.
      Pass -q to turn off this notice.
-- No entries --

[...]

Das kann ich so nicht reproduzieren. In welchen groups bist Du denn?

frostschutz schrieb:

…man…

Die wurde sicher nicht angepasst. Es gibt kein wheel unter Ubuntu. Aber adm für syslog 😉 Da wuselt noch einiges durcheinander.

Letztlich ist das nichts halbes und nichts ganzes. Entweder man verlangt Root-Rechte dann sollte man eigentlich auch das Passwort verlangen. Oder eben nicht.

Ich persönlich finde sowieso die rabiate Trennung zwischen root und Nutzerkonto ideal. Wir entwickeln uns allerdings davon weg, Ubuntu schon immer. Wheel und adm sind Kompatibilitätsgruppen um das Gejammer kleiner zu halten, da die daemons (adm) sicherlich nur langsam angepasst werden, wenn überhaupt. Ich sehe das allerdings wie du: Entweder trenne ich das korrekt oder nicht.

Aber traditionell durfte immer jeder ins dmesg schauen. Das wurde mehr aus Prinzip geändert als aus tatsächlich relevanten Sicherheitsbedenken.

Kommt auf die Distribution an, aber ich kenne das auch seit Jahren so. Warum das geändert wurde, weiß ich nicht, ist aber hier auch nicht relevant. Canonical hat das so entschieden, also gilt das für Ubuntu.

Man weicht den Anspruch "nur für root" also wieder auf einfach weil das ziemlich unpraktisch ist im Alltag. Auf meinem System habe ich dmesg einfach wieder freigeschaltet und gut.

Kann man machen. Allerdings wird das den Standardnutzer wenig interessieren, der will es einfach haben und ohne Vorgeschichte.

noisefloor schrieb:

der beschränkte Zugriff stimmt Ubuntu…

Ja. Und unter Ubuntu reicht es auch den Nutzer in die Gruppe systemd-journal zu packen. Dann kann er das Journal anzeigen ohne Rootrechte zu brauchen.