2004/12/29 on Yano's digital garage

Apache 続編

Wed, 29 Dec 2004 00:00:00 +0900

DocumentRoot環境のCGI動作確認。要するに25日の設定だけでは足りなかったという事だ。まずviでCGIを開いてビックリ。そういえばこれも漢字を使っているので nkf でUTF-8に変換。こんな感じでまとめて変換してしまう。

$ for f in *.cgi *.pl;do fn="~apache/cgi-bin/pngcnt/$f"; nkf -Ew $f > $fn; touch --refer=$f $fn; chmod --refer=$f $fn;done

実はCGIがprintするContent-Typeも"EUC-JP"から"UTF-8"に直さにゃならんのでviで置換。もちろん、現実には最後の最後でわかった事だが、未来ののび太君が二度手間を踏まなくていいようにここに書いておく。

しかしてこれでも状況は変らず。何より /var/log/httpd/error.log に詳細が落ちてこないので、

# /usr/sbin/setenforce 0

と permissiveモードにして apache の動作確認すると、"Symbolic link not allowed:" というエラーを吐いていた。仰せの通りシンボリックリンクを使っているので、/etc/httpd/conf/httpd.conf で Options に FollowSymLinks を追加して動作確認。…で、OK。

不足していたポリシーを

# cd /etc/selinux/targeted/src/policy/
# audit2allow -d -l >> domains/program/apache.te
# make reload

とやって追加・反映。

# /usr/sbin/setenforce 1

で戻した後も apache の動作に問題が無ければOKなり。

25日分の追加分を含めて、初期状態から追加したポリシーは以下のとおり。

allow httpd_suexec_t user_home_dir_t:dir search;
allow httpd_suexec_t user_home_t:dir { getattr search };
allow httpd_suexec_t user_home_t:file { execute execute_no_trans getattr ioctl read };
allow httpd_sys_script_t httpd_sys_script_exec_t:file write;
allow httpd_sys_script_t httpd_sys_script_exec_t:lnk_file read;
allow httpd_sys_script_t var_t:dir { add_name remove_name write };
allow httpd_sys_script_t var_t:fifo_file write;
allow httpd_sys_script_t var_t:file { create execute execute_no_trans getattr link read unlink write };
allow httpd_t httpd_sys_script_exec_t:lnk_file read;
allow httpd_t user_home_t:dir { getattr search };
allow httpd_t user_home_t:file { getattr read };

セキュリティ情報まとめ

Wed, 29 Dec 2004 00:00:00 +0900

最近登場したトロイの木馬Phel.A。これ自体はDoS攻撃を仕掛けるくらいで、感染力も弱く恐るるに足らない。しかし、web ページにアクセスしただけで攻略ファイルをユーザのスタートアップに保存させる感染手法に注目。

この攻撃手法は「HTMLヘルプコントロールのローカルゾーンセキュリティ制限バイパス」という既知の脆弱性を突いたものだが、最新のWindows XP SP2 と IE 6.0 SP2 の環境であっても影響を受ける深刻なモノなので、攻撃コードが出回った事により今後さらに凶悪なウィルスが発生する事が予想される。

残念ながらパッチは未公開なので、「インターネットゾーンのセキュリティ設定を『高』にする」か、Internet Explorer以外のブラウザを使う事を強く推奨したい。また、繰り返しになるが「信頼できないWebページにはアクセスしない」「HTMLメールは表示させない」という常日頃からの心がけが肝要である事は言うまでも無い。

Symbian携帯に感染するワームCabirも強化版がデビュー。「過ぎたるは及ばざるが如し」と言うように、個人的には携帯の過度なインテリジェント化には賛成致しかねるのだが、相変わらず走り出したら止まれないらしい。

【参照】
●ITmedia http://www.itmedia.co.jp/
┣XP SP2に感染するトロイの木馬 2004年5月9日
┗携帯ワームのCabirに複数の亜種、弱点解消で急拡散の恐れ 2004年12月29日
◆特集　いま、ウイルス対策を再考する：運用編 >>実録？　セキュリティ管理者の嘆き 2004年12月28日

<br/>●日経IT Pro <a href="http://itpro.nikkeibp.co.jp/" target="SubWindow">http://itpro.nikkeibp.co.jp/</a>

┣Windowsにパッチ未公開の危険なセキュリティ・ホール，信頼できないページへのアクセスは禁物 2004年12月24日
┣国産オープンソース・メール・クライアントSylpheed 1.0が正式リリース 2004年12月26日
┣PHPを狙う新たなワームが出現，Webページのプログラム・ミスを突く 2004年12月27日
┣Thunderbird 1.0 日本語版でHTMLメール作成に不具合，28日13:00に再公開へ 2004年12月27日
┣Mozilla Japan，公開中止していたThunderbird 1.0 日本語版を再リリース 2004年12月28日
┗IEのパッチ未公開セキュリティ・ホールを突くウイルス出現，XP SP2が影響を受ける 2004年12月28日

冬の便り

Wed, 29 Dec 2004 00:00:00 +0900

今日は脊振山、久住高原、桜島から今季初冠雪の便り…。福岡市内でも最高気温8.8℃と寒い一日で、昨日バイク洗ってて良かったなぁ。大晦日夜から元旦にかけて九州北部は平地でも雪の予報なり。ぶるぶる。

雪苺娘スペシャル？

B級グルメ的な冬の風物詩といえばヤマザキパンの雪苺娘(ゆきいちご)。苺をふわふわのホイップクリームと薄皮で包んだ洋風雪見大福的な逸品だ。この冬は遅いな〜暖冬だからかなぁ？などと血迷っていたのだが、そういえばヤマザキデイリーストアでしか置いてなかった事を思い出し、昨日帰りに寄ってみたところ見事にGet。

実は昨日28日からの発売だったと言うから、我ながらおそるべし野生の勘だ。

思わずカスタードクリームまで入ってるスペシャルバージョン262円を買ってしまったのだが、70円プラスというのはちょっと▲かな。レギュラーの雪苺娘189円の方がオススメかも。

切り札SpamAssassin様

Wed, 29 Dec 2004 00:00:00 +0900

qmail環境のセットアップが終わったので、押さえの切り札SpamAssassin様に登場願う事に。もはやFedora Core 3 では標準装備なのでインストール作業は不要。「サービスの設定」でdaemonが起動するように設定するだけだ。

肝心要の設定ファイル/etc/mail/spamassassin/local.cfは1年間のウハウハノウハウが詰まっているPortageからscpする。コメントに漢字を使っているのでnkf -EwでUTF-8に変換する事を忘れずに。ベイジアンデータベース(.spamassassin/bayes_*)もダメ元でコピっとこう。

まずはdaemonの正常起動をログで確認。syslogのファシリティはデフォルトでmailという事なので、ログファイルは /var/log/maillog という事になる。肝心のMTA qmailは multilog によるログ採取なので、 /var/log/maillog は SpamAssassin 専用となるが、取り敢えずそのままでいいか。

Portageで46秒かかっていたSPAMメールを喰わせたら、6秒で処理終了してニンマリ。結果(スコア)も同じなので問題無し。ベイジアンデータベースも使えてるみたいだ。これにてSpamAssassinの設定終了。

最後に/var/qmail/bin/qmail-injectでSPAMメールを自分宛に送信。spamメールボックスに振り分けられる事を確認して万事OKなり。

最後の壁djbdns

Wed, 29 Dec 2004 00:00:00 +0900

djbdnsの導入。ローカルアドレスの逆引きを実装する為にdnscacheとwalldnsも導入する必要があったが、過去のドキュメントを整理しながらやったところ意外とあっさり終了。

「簡単じゃん」とか思ったところに落とし穴。それ以前にリゾルバをdnscacheのアドレスに変更する「最初の一歩」を思い出すのが一番大変だったなり。

[root@nx9030 dnscache]# echo "nameserver " `cat /etc/dnscache/env/IP` > /etc/resolv.conf