大家好
小弟Linux新手
想请问各位前辈
最近遇到一个问题
我们有一台AP Server
因为AP那边没有权限
他们有需求要去看AP上的log
之前我都会开帐号
然后设定该帐号的家目录到该log路径
透过SFTP的方式让AP人员能直接下载log
AP人员只要用Filezila登入就直接可以看到log
也省去他们不小心动到档案的风险
但假设今天有十个不同的log路径
不太可能设十组帐号给他们
请问这种情况下
各位前辈们会建议怎么设权限给他们呢?
题外话 若路径aaa/bbb/log
某个帐号有存取bbb的权限
但没有存取aaa的权限
这样还能存取到bbb吗?
以上

rsync 定期跑他们该看的到的档案给他 不要直接开权限

rsync或是开个apache 档案塞去web server给他们抓

回题外:权限有rwx三种,对资料夹来说r=可读,x=可经过aaa=__x:使用者不能列出aaa的内容,但可直接读已知的bbb/logaaa=___:碰不到bbb

设定ap相关log写入同一个目录中我是开smb, read only

rsync 往外丢，不给直接登入权限

不要把家目录放到奇怪的地方，用 ln 连结连过去就好

ln不好配chroot,重点是没必要不要给人shell accessrsync/web server之类会是比较没安全问题的解

可以把 shell 换成 nologin ， sftp 还是可以登入符号连结不能配 chroot ，看要改硬连结还是用 cron

架log server 像是ELK....