Cuando se endurece un WAS (en este caso estoy usando Tomcat), OWASP recomienda aplicar estos permisos de Linux. al directorio logs :
Asegúrese de que el usuario tomcat tenga acceso de lectura / escritura a / tmp y escriba (300 - sí, solo escribir / ejecutar) acceso a CATALINA_HOME / logs
Alguien puede explicar por qué el daño es permitir el permiso de read (ya que su uso simplifica la administración a través de herramientas remotas sin tener que usar sudo )
EDIT
Después de las respuestas, creo que entiendo mejor el problema y cómo combinar la seguridad con la comodidad. Supongo que una solución podría ser utilizar
- usar permisos 350
- cambiar propietario a tomcat: admin
- ejecute la aplicación con el usuario tomcat, de modo que si se explota, el usuario no tendrá acceso de lectura a los registros, pero sí los usuarios del grupo de administración, para que puedan verificar los registros con sus herramientas de forma remota.