FreeBSDのportsにSquirrelmailが入るようになってからずっとports版のSquirrelmailを使っていました。でも、php5.4の環境でインストールしようとするとportsが
/usr/ports/mail/squirrelmail# make configure ===> squirrelmail-1.4.22_3 cannot be installed: doesn't work with lang/php5 port (<span style="color: #ff0000;">doesn't support PHP 5.4</span>). *** [configure] Error code 1 Stop in /usr/ports/mail/squirrelmail.
と怒ってインストールさせてくれません。仕方が無いのphp 5.3 (php53-*)のportsを入れてやり過ごしてきました。
最近、security run outputのメールが”Checking negative group permissions”という警告を出してくるようになりました。この機能はFreeBSD 9.1の頃に追加されたようで、警告の内容自体は “705”とか”604″とか、グループはアクセス拒否でその他のユーザーはアクセスを許すというポリシーに対しての警告なので意図してそう設定しているのなら問題の無い類のものです。
本家のMLでも、あくまでも警告なんだからデフォでOK、不要な人は外せばいいでしょ、などといった会話が見つかります。
What is “negative group permissions”? (Re: narawntapu security run output)
私自身ではこういった”705″や”604″のような設定はあまりしません。ただ、最近になって他所のサーバーのデータをそのまま預かり、そのデータのパーミッションフラグは元のまま残しておきたい場合もでてきました。そしてそのデータの中にはこういった”negative group permission”が大量に含まれていることが多く、自分ではコントロールできないのでこの警告は出ないように設定することにしました。
私はこういったデフォルトお任せ的な部分の設定は良く知らないので、どこを変更したらいいのか調べるためにまず先のMLで出てた”110.neggrpperm”を探してみます。
#cd /etc # find . -name 110.neggrpperm -print ./periodic/security/110.neggrpperm
すぐに”/etc/periodic/security/110.neggrpperm”が本体なのが分かりました。中身を見ると、
case "$daily_status_security_neggrpperm_enable" in [Yy][Ee][Ss])
という記述がみつかります。今度は”daily_status_security_neggrpperm_enable”を含むファイルを探します。
# grep -r daily_status_security_neggrpperm_enable * defaults/periodic.conf:daily_status_security_neggrpperm_enable="YES" periodic/security/110.neggrpperm:case "$daily_status_security_neggrpperm_enable" in
そして”/etc/defaults/periodic.conf”の中の記述を以下のように”YES”から”NO”に変更。
# 110.neggrpperm daily_status_security_neggrpperm_enable="NO"
periodic.conf自体はシェルスクリプトで時間が来たら実行されるので変更を反映させるために何かを再起動とかは必要なさそう。
きっとこれで静かなdailyレポートになるでしょう。
後で先のMLの記事を読み直してみたら設定ファイルの場所とか書かれていました。orz
ddclientの設定メモ書き
4月にFreeBSD 8.3-RELEASE がリリースされました。(FreeBSD 8.3-RELEASE Announcement)
3月中旬に8.2-RELEASE-p6から8.3-PRERELEASEに変わる頃までは追っかけていましたが、RELEASE直後にありがちなトラブルとかを避ける意味も含めて4月はちょっとさぼっていました。ようやく先日、makeworldして8.3-RELEASEに移行しました。すでにp1になってました。何台か稼働しているサーバーを順次移行していってますが、とりあえず目に見える不具合はなさそうです。
FreeBSD 8.3-RELEASE-p1 #10: Tue May 29 10:46:33 JST 2012
20120503: p1 FreeBSD-SA-12:01.openssl Fix multiple OpenSSL vulnerabilities.
20120411: 8.3-RELEASE.
先日のmakeworldついでにたまっていたportsのアップデートをシコシコと済ませたら今朝になってvsftpdが変だということに気が付きました。
ftpクライアントでログインを試みると
500 OOPS: vsftpd: refusing to run with writable root inside chroot() 500 OOPS: priv_sock_get_cmd
と言われてアクセスを拒否られてしまいます。portsのアップデートは vsftpd-ssl-2.3.4 から vsftpd-ssl-2.3.5 でした。きっと私の他にも不幸な目にあっている人がいるに違いないと上記のエラーメッセージでぐぐってみるとやはり先人がいらっしゃいました。情報感謝。
~かなりオタクで(21)なPC馬鹿の雑記~(vsftpd 2.3.5)
3. Download sources of vsftpd-ext, compile and overwrite exist vsftpd binaries or take it from repositories and add to configuration file option allow_writable_root=yes.
vsftp の代わりに vsftp-ext を使って allow_writeble_root=yes を指定すればよさげです。
portsの中を探してみると /usr/ports/ftp/vsftpd の隣に /usr/ports/ftp/vsftpd-ext がありました。
# pkg_info | grep vsftpd vsftpd-ssl-2.3.5 A FTP daemon that aims to be "very secure" # pkg_delete vsftpd-ssl-2.3.5 # portinstall ftp/vsftpd-ext # pkg_info | grep vsftpd vsftpd-ext-ssl-2.3.5.1_1 A FTP daemon that aims to be "very secure". Extended build
でportsを削除&インストールして、/usr/local/etc/vsftpd.conf の末尾に
allow_writable_root=YES
を追加して完了。
これで元通りにftpアクセスができるようになりました。
参考サイト:~かなりオタクで(21)なPC馬鹿の雑記~(vsftpd 2.3.5)(http://blogs.yahoo.co.jp/def777a/39414278.html)リンク切れ