OKWAVEのAI「あい」が美容・健康の悩みに最適な回答をご提案!
-PR-
解決
済み

Linuxサーバーrootからのメッセージ

  • 困ってます
  • 質問No.180062
  • 閲覧数456
  • ありがとう数8
  • 気になる数0
  • 回答数3
  • コメント数0

お礼率 97% (76/78)

いつもお世話になっています。

Turbo Linux Server 6.1Jから、ftp版のTurbo Linux Server 6.5にアップグレードしました。

昨日、INSからADSL固定IPサービスへ移行して、各種のサーバーを立ち上げて、rootからのメッセージをクライアントPCから受け取りました。
その中に、下記のエラーが毎時間、1件以上出ているのですが、これはどのような意味で、修正する方法があれば是非教えてくださいお願いします。

Dec 5 12:01:00 xx CROND[2361]: (root) CMD (run-parts /etc/cron.hourly)
        :
Dec 5 11:01:59 xx ipop3d[2246]: Mailbox vulnerable - directory /var/spool/mail must have 1777 protection
通報する
  • 回答数3
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.3
レベル14

ベストアンサー率 50% (1122/2211)

No.2 の回答に補足を。

ranx> このディレクトリはメールの保管場所だと思います。
ranx> そのアクセス権を1777にしてしまっては、誰でもアクセス
ranx> できることになってしまい、かえって危険です。

/var/spool/mail は、メールボックスファイルが置かれるディレクトリです。
だから、メールを扱うプログラムがアクセスできるようにアクセス権限をつける
のが普通です。

制限をかけるのは、このディレクトリに配置されるメールボックスに対して、です。
/var/spool/mail の下を見てみると分かると思いますが、メールボックスがそれぞれ
所有者とグループに読み書きの権限がついていて、グループが mail になっている
はずです。

で、ディレクトリのモードが 777 ではなく 1777 になっているのがミソなん
です(スティッキィビットといいます)。

メールを扱うプログラムが本人か root だけだと、バックで動くプログラムを
全て root 権限で動作させることになってしまいます。そのセキュリティホールを
つかれると、root 権限をのっとられてしまうので、できるだけプログラムは
root 権限で動かさない方が良いんです。

ディレクトリにスティッキィビットがついていると、そのディレクトリ配下の
ファイルは root じゃなくても、ファイルの所有者・ディレクトリの所有者・書き込み
可能の *どれかの* 条件を満たしていると更新ができます。

そうすることで、メールを扱うプログラムを root 以外の権限で動かすことができ、
最悪、権限をのっとられても、たいした悪さができないようにリスクを軽減すること
ができます。
お礼コメント
tadanokuma

お礼率 97% (76/78)

再度、詳細なる書き込み有難うございます。

今、書かれた内容を読み返して、パーミッションを変更しました。

どのカーネルからか分かりませんが、セキュリティ対策が盛り込まれていたとは知りませんでした。ありがとうございました。
投稿日時 - 2001-12-05 15:11:10
-PR-
-PR-

その他の回答 (全2件)

  • 回答No.1
レベル14

ベストアンサー率 50% (1122/2211)

幾つかのメッセージを省略しているようですが、質問に有る二つのメッセージについて。 > Dec 5 12:01:00 xx CROND[2361]: (root) CMD (run-parts /etc/cron.hourly) これは「クーロン」というバックグラウンドで処理を行う仕組みがある(例えば、 毎日決った時刻に、あるプログラムを動作させたい、とか)のですが、そのメッセージ ...続きを読む
幾つかのメッセージを省略しているようですが、質問に有る二つのメッセージについて。

> Dec 5 12:01:00 xx CROND[2361]: (root) CMD (run-parts /etc/cron.hourly)

これは「クーロン」というバックグラウンドで処理を行う仕組みがある(例えば、
毎日決った時刻に、あるプログラムを動作させたい、とか)のですが、そのメッセージ
です。

「一時間おきに起動の指定がある分についての処理をしました」という、ただの通知です。


> Dec 5 11:01:59 xx ipop3d[2246]: Mailbox vulnerable - directory /var/spool/mail must have 1777 protection

これは、そのままの通り /var/spool/mail ディレクトリの権限が 1777 になっている
ことを期待するプログラムがいて(*)、そうなっていないよ、という警告です。

もし、気になるのだったら、権限を変えておきましょう。

% chmod 1777 /var/spool/mail

  (*) 正確に言うと、ちょっと違う
お礼コメント
tadanokuma

お礼率 97% (76/78)

回答有難うございました。
まず、クローンで、バックグラウンドジョブのメッセージ程度なら放置したいと思います。

もう一件は、/var/spool/mail の権限は、もともと”775”ですが、これを回答によると”1777”にすればこの警告は出なくなるというものでしょうか?この”1777"というのは初めて見たのですが・・・。

状況は、各種サーバー類を1日で定義・作成したために、どこかの定義ミスによるものか、ディバイスのモジュール関係で引っかかったのか不安でした。回答された内容から安心しています。ありがとうございました。
投稿日時 - 2001-12-05 14:44:37


  • 回答No.2
レベル13

ベストアンサー率 24% (357/1463)

> Mailbox vulnerable - directory /var/spool/mail must have 1777 protection メッセージ、写し間違えていませんか? 字義通りにとればa-kumaさんのおっしゃる通りですが、 このディレクトリはメールの保管場所だと思います。 そのアクセス権を1777にしてしまっては、誰でもアクセス できることになってしまい、かえって危険 ...続きを読む
> Mailbox vulnerable - directory /var/spool/mail must have 1777 protection
メッセージ、写し間違えていませんか?
字義通りにとればa-kumaさんのおっしゃる通りですが、
このディレクトリはメールの保管場所だと思います。
そのアクセス権を1777にしてしまっては、誰でもアクセス
できることになってしまい、かえって危険です。
お礼コメント
tadanokuma

お礼率 97% (76/78)

ranxさん、アドバイスありがとうございます。

今、先程吐かれたものをつけます。

Dec 5 13:57:40 xx inetd[433]: pid 2632: exit status 1
Dec 5 14:01:00 xx CROND[2644]: (root) CMD (run-parts /etc/cron.hourly)
Dec 5 13:02:13 xx ipop3d[2530]: port 110 service init from 192.168.0.9
Dec 5 13:02:14 xx ipop3d[2531]: port 110 service init from 192.168.0.9
Dec 5 13:02:14 xx ipop3d[2531]: Mailbox vulnerable - directory /var/spool/mail must have 1777 protection
Dec 5 13:02:14 xx ipop3d[2531]: Mailbox vulnerable - directory /var/spool/mail must have 1777 protection
Dec 5 13:02:41 xx ipop3d[2532]: port 110 service init from 192.168.0.25
Dec 5 13:03:41 xx ipop3d[2533]: port 110 service init from 192.168.0.25

アドバイスのとおり、/var/spool/mail はディレクトリであり、パーミッションはデェフォルトは"775"なので、どうしようか迷っています。定義ミスでなく放置して構わないものなら、そのままにしたいと思います。

さらに、セキュリティも考慮していただいて、ありがとうございました。まずはお礼まで・・・。
投稿日時 - 2001-12-05 14:53:56
このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ