第7回【とあるサーバの下学上達〜サイエンスプログレンす〜】

こんばんは 高城梢です

平成25年1月23日に
第7回【とあるサーバの下学上達〜サイエンスプログレンス〜】を放送しました
(第6回の記事に色々と間違えてました 日付とかタイトルとか)
今回の内容は、ファイルのパーミッション、グループなどです

・パーミッション(許可)とは、コンピュータのハードディスクなどに保存されているファイルやディレクトリに対するユーザのアクセス権のこと。一般に、UNIXシステムにおけるアクセス権を指す言葉として用いられる。
(IT用語辞典より http://e-words.jp/w/E38391E383BCE3839FE38383E382B7E383A7E383B3.html)
UNIXシステムでは、複数のユーザーをまとめて「グループ」と呼ぶ
ユーザー登録時に作成されるグループを「プライマリグループ」
管理者権限ユーザーは、グループ名だけを個別作成し、任意のユーザーを登録することができます。
この個別作成したグループを「サプリメンタルグループ」という

・グループができること
読み、書き、実行をまとめて許可することができる

・パーミッションでは、
オーナー(自分自身) グループ(自分が属する) その他
の、アクセス許可状態(読み、書き、実行の可能・不可能)を設定することができる
それは、9つの設定をrwxで表現する。−は不可の意味。
例えば、(先頭文字は今回は、関係ない)
drwxr-xr-x 30 kozue staff 1020 Dec 15 01:14 1206
オーナーは、読み可能 書き可能 実行可能
グループは、読み可能 書き不可 実行可能
その他は、 読み可能 書き不可 実行可能
-rw-r–r–@ 1 kozue staff 129577 Dec 24 22:41 Screen Shot 2012-12-24 at 10.41.22 PM.png
オーナーは、読み可能 書き可能 実行不可
グループは、読み可能 書き不可 実行不可
その他は、 読み可能 書き不可 実行不可

という風に表すことができる。

・スーパーユーザーと一般ユーザーは違う
スーパーユーザーは、一般ユーザーが読み出し不可、書き込み不可にしても読み出し、書き込みができる。
削除不可に設定してあるファイルでも、スーパーユーザーなら削除できる。秘密のブログとかも読めちゃう。

・パーミッションの8進数表現
rw-r–r–
を2進数で表すと
110100100
となる。
2進数のことがよくわからないので、数字を覚えることにしました。
rが4 wが2 xが1
r–ならば、4
-w-ならば、2
–xならば、1

では、その数字を足してみよう
rw-は、6  4+2
r-xは、5  4+1

rw-r–r–
これは、644となる!やったね8進数!

・chmod
書き込み権限を奪うことで、削除をさせないようにできる

chmod -w ファイル名
ファイル名のものが削除できない
lsすると -r–r–r– となっている
削除しようとすると、
override r–r–r– kozue/staff for file2.txt?
と聞かれる。y or n で答えてあげよう

・mkdir ディレクトリ名
ディレクトリを作成するコマンド

書き込み可能ディレクトリ mydir 内の書き込み禁止ファイルが wrt_no
書き込み禁止ディレクトリ xxdir 内の書き込み可能ファイルが wrt_ok

を設定してみる

chmod -w mydir/wrt_no このファイルを書き込み禁止にする
chmod -w xxdir このディレクトリを書き込み禁止になる
ls -ld *dir このディレクトリで始まるものを見る
見つからないときは、lsだけとか試してみてください

ls -l すると
drwxr-xr-x 3 kozue staff 102 Jan 23 21:51 mydir3
7 5 5
dr-xr-xr-x 3 kozue staff 102 Jan 23 21:53 xxdir
5 5 5
となります。書き込み権限がなくなったことがわかりました。

・ls -l mydir3/w* xxdir/w* で、中身を見ることができます
-r–r–r– 1 kozue staff 8 Jan 23 21:51 mydir3/wrt_no
5 5 5
-rw-r–r– 1 kozue staff 8 Jan 23 21:53 xxdir/wrt_ok
6 4 4

・rm 削除コマンド
ディレクトリに書き込み権限があるが、ファイルに書き込み権限があるとき…
toarusabanokagakujoutatsu-no-MacBook-701:nanaly kozue$ rm mydir3/wrt_no
override r–r–r– kozue/staff for mydir3/wrt_no?
と聞かれます。今回はnにしました。
ディレクトリに書き込み権限がないが、ファイルに書き込み権限があるとき…
toarusabanokagakujoutatsu-no-MacBook-701:nanaly kozue$ rm xxdir/wrt_ok
rm: xxdir/wrt_ok: Permission denied
許可がないので削除できません。と言われました。

ちなみに、マウスで手動でゴミ箱に捨てようとすると、パスワードを聞いてきます。
大切なディレクトリやファイルには、書き込み権限をとってしまうと安全ですね。

こんな感じの勉強でした!
更新が遅くなり、申し訳ありません。
次週、1月30日水曜日もよろしくお願いいたします。
更新的には、今日ですね。本当に申し訳ないです。

http://www.ustream.tv/new/search?q=とあるサーバの&type=all

Mac OS X 10.7.5でOpenLDAPを使って認証させたかった

0. 始めに

Mac OS X 10.7.5でOpenLDAPを使って認証させたかった。
うちのLANはUNIX系システムの認証にLDAPを利用している。全部で20〜30ホストぐらいあるのだけれど認証を一元化できるので非常に便利で助かっている。

ところでMacBookをもっているのだけれど、この認証もLDAPに参加できないかと思ってみた。画面共有だとかローカルユーザだとか、UIDを一致させたかった。ノートパソコンなので持ち出すことがある。なのでLDAPのスレーブにしてしまって親元サーバから認証情報をもらい、ローカルホストで認証を掛けようと思ってみた。
そこでまずはMac OS XなホストをLDAPクライアントにしてみた。これが意外にも大変だった。

続きを読む Mac OS X 10.7.5でOpenLDAPを使って認証させたかった

Proftpdでpam越しにldapの認証を使った

Proftpdでpam越しにldapの認証を使いたかった。

実はコレまでのproftpdの認証は、最も標準的である /etc/passwd あたりのファイルを見て認証をかけてた。だからproftpdはnisやldapと連携してなかった。

現にこれまではnisをunixのsystemの認証としていたのだけれど、それをproftpdでは使わず、nisのアカウントとunixのアカウントを手動で同期を取るというなんとも前時代的な運用をしていた。

現在管轄しているセグメントもほとんどのホストでldapに移行が完了しており、nisベースはほとんどなくなってきていたのでそろそろこのproftpdの認証回りもldapを使うようにしてあげないと、と思っていた。

一応profptdにはmod_ldapという自前でldap認証を行うモジュールがあるのだけれど、そこでいちいちフィルタやらdcやらを書いてやるのも面倒だなぁと思っていたし、ユーザごとにそこまで細やかに制限を入れる予定もなかった。制限といえばせいぜいrootでのログインを拒否するだとかそういったところだったので、その辺はproftpdの標準confでできるわけだった。

で、既にproftpdを動かすホストではpamでldapを使って認証してたので、このunixアカウント認証をそのままftpの認証系にしてしまうことにした。confはテキトウにググったら出てきた。

# pam
AuthOrder           mod_auth_pam.c* mod_auth_unix.c
AuthPAMConfig      system

上記の部分をconfに加えて再起動したらいけました。

最初はちょっと動かなかったりしたのでその点についてのメモ。
/etc/pam.dの中身にも依るのだけれど、pamには設定名っていうのがある。pam.dにあるファイルベースで設定名が決められている。proftpdでは標準でftpという設定名を使うのでpamのftpにldap使いますよと書いてないと有効にならない。ここで少しハマってしまった。

この辺のことは実は公式にちゃんと載ってて、ググってコピペで動かな~い、と困ってしまったことを反省。

 

以上

第6回【とあるサーバの下学上達〜サイレンスプログレンス〜】

こんばんは
平成24年1月16日に「とあるサーバの下学上達〜サイレンスプログレス〜」を放送しました。
少し日が空いてしまったので、復習など含めて進めました。

本日学習したことは、
cd desktop→ cd nanaly
一度デスクトップにチェンジディレクトリしてからnanalyにチェンジします
ls -Gal
詳しい内容をリストにし、ディレクトリだけ青く表示させることができます

新しいコマンド
mv ファイルの移動と名前の変更ができる

mv file1 mydir
file1を今いるディレクトリからmydirに移動する

mv file1 file2.txt mydir
file1とfile2.txtをmydirに移動する

mv file2.txt mydir/file3.txt
元々あるfile2.txtをmydirディレクトリへfile3.txtという名前にかえて移動する

mv file4 file100
file4をfile100という名前にして移動する

mv file* mydir
fileと名のついているもの全てをmydirへ移動する

mv mydir/file* ./
mydirの中にあるfileと名のついているもの全てとドットファイルも移動する

オプション
-i
確認する

mv -i file1 mydir/file3
mydirのfile1をfile3という名前に上書きしてもいいですか?と聞かれるようになる

新しいコマンド
rm
ファイルを削除する

rm file1
file1を削除します
復活はできないみたい。

rm file2 file3
file2とfile3を削除します

rm file*
fileと名のついているもの全てを削除します

rm -i file4
file4を削除してもいいですか?と聞かれる(おすすめ)

こんなかんじです!!
次週もまたゆっくり放送していきますので、よろしくお願いします
ユーストリームで「とある科学の下学上達」で検索