カテゴリー
FreeBSD

Checking negative group permissions

最近、security run outputのメールが”Checking negative group permissions”という警告を出してくるようになりました。この機能はFreeBSD 9.1の頃に追加されたようで、警告の内容自体は “705”とか”604″とか、グループはアクセス拒否でその他のユーザーはアクセスを許すというポリシーに対しての警告なので意図してそう設定しているのなら問題の無い類のものです。

本家のMLでも、あくまでも警告なんだからデフォでOK、不要な人は外せばいいでしょ、などといった会話が見つかります。

What is “negative group permissions”? (Re: narawntapu security run output)

私自身ではこういった”705″や”604″のような設定はあまりしません。ただ、最近になって他所のサーバーのデータをそのまま預かり、そのデータのパーミッションフラグは元のまま残しておきたい場合もでてきました。そしてそのデータの中にはこういった”negative group permission”が大量に含まれていることが多く、自分ではコントロールできないのでこの警告は出ないように設定することにしました。

私はこういったデフォルトお任せ的な部分の設定は良く知らないので、どこを変更したらいいのか調べるためにまず先のMLで出てた”110.neggrpperm”を探してみます。

#cd /etc
# find . -name 110.neggrpperm -print
./periodic/security/110.neggrpperm

すぐに”/etc/periodic/security/110.neggrpperm”が本体なのが分かりました。中身を見ると、

case "$daily_status_security_neggrpperm_enable" in
[Yy][Ee][Ss])

という記述がみつかります。今度は”daily_status_security_neggrpperm_enable”を含むファイルを探します。

# grep -r daily_status_security_neggrpperm_enable *
defaults/periodic.conf:daily_status_security_neggrpperm_enable="YES"
periodic/security/110.neggrpperm:case "$daily_status_security_neggrpperm_enable" in

そして”/etc/defaults/periodic.conf”の中の記述を以下のように”YES”から”NO”に変更。

# 110.neggrpperm
daily_status_security_neggrpperm_enable="NO"

periodic.conf自体はシェルスクリプトで時間が来たら実行されるので変更を反映させるために何かを再起動とかは必要なさそう。
きっとこれで静かなdailyレポートになるでしょう。

後で先のMLの記事を読み直してみたら設定ファイルの場所とか書かれていました。orz