大家好
小弟Linux新手
想請問各位前輩
最近遇到一個問題
我們有一台AP Server
因為AP那邊沒有權限
他們有需求要去看AP上的log
之前我都會開帳號
然後設定該帳號的家目錄到該log路徑
透過SFTP的方式讓AP人員能直接下載log
AP人員只要用Filezila登入就直接可以看到log
也省去他們不小心動到檔案的風險
但假設今天有十個不同的log路徑
不太可能設十組帳號給他們
請問這種情況下
各位前輩們會建議怎麼設權限給他們呢?
題外話 若路徑aaa/bbb/log
某個帳號有存取bbb的權限
但沒有存取aaa的權限
這樣還能存取到bbb嗎?
以上

rsync 定期跑他們該看的到的檔案給他 不要直接開權限

rsync或是開個apache 檔案塞去web server給他們抓

回題外:權限有rwx三種,對資料夾來說r=可讀,x=可經過aaa=__x:使用者不能列出aaa的內容,但可直接讀已知的bbb/logaaa=___:碰不到bbb

設定ap相關log寫入同一個目錄中我是開smb, read only

rsync 往外丟，不給直接登入權限

不要把家目錄放到奇怪的地方，用 ln 連結連過去就好

ln不好配chroot,重點是沒必要不要給人shell accessrsync/web server之類會是比較沒安全問題的解

可以把 shell 換成 nologin ， sftp 還是可以登入符號連結不能配 chroot ，看要改硬連結還是用 cron

架log server 像是ELK....