Checking negative group permissions

最近、security run outputのメールが”Checking negative group permissions”という警告を出してくるようになりました。この機能はFreeBSD 9.1の頃に追加されたようで、警告の内容自体は “705”とか”604″とか、グループはアクセス拒否でその他のユーザーはアクセスを許すというポリシーに対しての警告なので意図してそう設定しているのなら問題の無い類のものです。

本家のMLでも、あくまでも警告なんだからデフォでOK、不要な人は外せばいいでしょ、などといった会話が見つかります。

What is “negative group permissions”? (Re: narawntapu security run output)

私自身ではこういった”705″や”604″のような設定はあまりしません。ただ、最近になって他所のサーバーのデータをそのまま預かり、そのデータのパーミッションフラグは元のまま残しておきたい場合もでてきました。そしてそのデータの中にはこういった”negative group permission”が大量に含まれていることが多く、自分ではコントロールできないのでこの警告は出ないように設定することにしました。

私はこういったデフォルトお任せ的な部分の設定は良く知らないので、どこを変更したらいいのか調べるためにまず先のMLで出てた”110.neggrpperm”を探してみます。

#cd /etc
# find . -name 110.neggrpperm -print
./periodic/security/110.neggrpperm

すぐに”/etc/periodic/security/110.neggrpperm”が本体なのが分かりました。中身を見ると、

case "$daily_status_security_neggrpperm_enable" in
[Yy][Ee][Ss])

という記述がみつかります。今度は”daily_status_security_neggrpperm_enable”を含むファイルを探します。

# grep -r daily_status_security_neggrpperm_enable *
defaults/periodic.conf:daily_status_security_neggrpperm_enable="YES"
periodic/security/110.neggrpperm:case "$daily_status_security_neggrpperm_enable" in

そして”/etc/defaults/periodic.conf”の中の記述を以下のように”YES”から”NO”に変更。

# 110.neggrpperm
daily_status_security_neggrpperm_enable="NO"

periodic.conf自体はシェルスクリプトで時間が来たら実行されるので変更を反映させるために何かを再起動とかは必要なさそう。
きっとこれで静かなdailyレポートになるでしょう。

後で先のMLの記事を読み直してみたら設定ファイルの場所とか書かれていました。orz

FreeBSD 8.3-RELEASE

4月にFreeBSD 8.3-RELEASE がリリースされました。(FreeBSD 8.3-RELEASE Announcement

3月中旬に8.2-RELEASE-p6から8.3-PRERELEASEに変わる頃までは追っかけていましたが、RELEASE直後にありがちなトラブルとかを避ける意味も含めて4月はちょっとさぼっていました。ようやく先日、makeworldして8.3-RELEASEに移行しました。すでにp1になってました。何台か稼働しているサーバーを順次移行していってますが、とりあえず目に見える不具合はなさそうです。

FreeBSD 8.3-RELEASE-p1 #10: Tue May 29 10:46:33 JST 2012

 

20120503: p1 FreeBSD-SA-12:01.openssl Fix multiple OpenSSL vulnerabilities.
20120411: 8.3-RELEASE.

vsftpd 2.3.5 : refusing to run with writable root inside chroot()

先日のmakeworldついでにたまっていたportsのアップデートをシコシコと済ませたら今朝になってvsftpdが変だということに気が付きました。

ftpクライアントでログインを試みると

500 OOPS: vsftpd: refusing to run with writable root inside chroot()
500 OOPS: priv_sock_get_cmd

と言われてアクセスを拒否られてしまいます。portsのアップデートは vsftpd-ssl-2.3.4 から vsftpd-ssl-2.3.5 でした。きっと私の他にも不幸な目にあっている人がいるに違いないと上記のエラーメッセージでぐぐってみるとやはり先人がいらっしゃいました。情報感謝。

~かなりオタクで(21)なPC馬鹿の雑記~(vsftpd 2.3.5)
3. Download sources of vsftpd-ext, compile and overwrite exist vsftpd binaries or take it from repositories and add to configuration file option allow_writable_root=yes.

vsftp の代わりに vsftp-ext を使って allow_writeble_root=yes を指定すればよさげです。

portsの中を探してみると /usr/ports/ftp/vsftpd の隣に /usr/ports/ftp/vsftpd-ext がありました。

# pkg_info | grep vsftpd
vsftpd-ssl-2.3.5    A FTP daemon that aims to be "very secure"
# pkg_delete vsftpd-ssl-2.3.5
# portinstall ftp/vsftpd-ext
# pkg_info | grep vsftpd
vsftpd-ext-ssl-2.3.5.1_1 A FTP daemon that aims to be "very secure". Extended build

でportsを削除&インストールして、/usr/local/etc/vsftpd.conf の末尾に

allow_writable_root=YES

を追加して完了。

これで元通りにftpアクセスができるようになりました。

参考サイト:~かなりオタクで(21)なPC馬鹿の雑記~(vsftpd 2.3.5)(http://blogs.yahoo.co.jp/def777a/39414278.html)リンク切れ

FreeBSD 8.3-PRERELEASE

半年くらい前にFreeBSD 8.2-Releaseに上げたところなのにもう次の8.3がリリースされる時期になりました。

FreeBSD 8.2-RELEASE-p6 #8: Wed Mar 14 19:59:06 JST 2012
FreeBSD 8.3-PRERELEASE #9: Sun Mar 18 12:40:41 JST 2012

8.2-Releaseは先日の時点でp6まで上がっていました。makeworldでSTABLEに上げると8.3-PreReleaseになりました。スケジュール(FreeBSD 8.3 Release Process)によると現時点でRC1ということになりますね。

そういえば、使ったことが無いですがPC98が未だにサポートされているんですね。今使っているサーバー(Atom 330 @1.6GHz)でbuildworldが約1時間半、buildkernelが約1時間かかっています。静音サーバー(VIA C3@1GHz)だとbuildworldが約6時間、buildkernelが約2時間もかかります。PC98だと一体どれくらいかかるんでしょうね。確かMMX166のThinkPadで当時のFreeBSDで1日近くmakeworldにかかっていた記憶があるのでそれ以上になるのかな。