L’Agent Datadog s’exécute avec l’utilisateur dd-agent et le groupe dd-agent. Cela l’empêche d’accéder aux logs dans /var/log, car ils sont uniquement accessibles par l’utilisateur root (ou un sudo administrateur).
Les ACL doivent être activées sur votre système de fichiers pour pouvoir définir les autorisations avec les méthodes présentées dans cet article. Vérifiez que les ACL sont activées avec les commandes getfacl et setfacl, afin de définir les autorisations de l’utilisateur datadog-agent sur un répertoire test, par exemple :
Une fois que vous avez vérifié que les ACL sont activées, accordez les autorisations de lecture et d’exécution à l’utilisateur datadog-agent sur les répertoires appropriés afin de recueillir des logs. Par exemple, pour accorder l’accès à /var/log/apache, exécutez :
Il ne suffit pas de définir des autorisations une fois pour qu’elles soient appliquées de façon définitive. En effet, le réglage de l’ACL n’est appliqué qu’une seule fois par logrotate. Pour appliquer une solution permanente, ajoutez une règle à logrotate afin de réinitialiser l’ACL dans un nouveau fichier :
Remarque : si vous utilisez PostgreSQL v10 ou une version antérieure, définissez les autorisations sur 0700. À partir de PostgreSQL v11, vous pouvez les définir sur 0700 ou 0750. Si vous essayez de démarrer un serveur alors que les autorisations de son répertoire de base ne sont pas définies sur 0700 ou 750, le processus postmaster échouera.
Remarque : le répertoire de logging de PostgreSQL ne peut pas figurer dans le même répertoire que l’installation PostgreSQL de base.
Leurs autorisations sont associées par défaut à l’utilisateur « mysql » et au groupe « mysql ». Ce schéma de journalisation empêche l’accès au fichier de log à n’importe quel utilisateur ne faisant pas partie du groupe « mysql ». Voici un exemple de message pouvant s’afficher.
$ ls -l /var/log | grep -i mysql
drwxr-x--- 2 mysql mysql 4096 Feb 20 06:25 mysql
Ici, la solution la plus simple consiste à autoriser à tous les utilisateurs l’accès au fichier de la configuration logrotate :
Toutes les applications tierces courantes possèdent une nomenclature semblable. Ainsi, vous évitez d’accorder un accès privilégié à un compte individuel et suivez une bonne pratique, ce qui facilite le contrôle de vos règles d’audit.