2006年11月06日

chrootして動かすプロセスのtimezone対策

タイトルだけでは何のことだか分からないですね…。

セキュリティ対策のために、特定のプロセス(主にネットワーク系のデーモン)の実行時にchrootして最低限のファイルシステムしか見せないようにするってのがあるかと思います。apacheとかbindとか。
私の場合はOpenVPNでそれを実施しているのですが、この方法だとsyslogに出力されるログの時刻がUTCになってしまい困っておりました。やっとこ解決法が分かったのでそのメモ。

といっても方法は至って簡単。例えばchrootする先が /hoge/root だとすると、
mkdir /hoge/root/etc
cp -p /etc/localtime /hoge/root/etc

とこれだけ。
ようするに/etc/localtimechroot後も参照可能になっていればいいみたいです。

原因が分からず非常に難儀していたのですが、何とか解決して一安心♪

…と、タネ明かしをすれば結構簡単な話だったのですが、これを突き止めるのにえらい苦労しました。最初原因は実行ユーザの変更(nobodyとか権限の限定されているユーザでプロセスを実行する)に関係していると踏んでいたので、nobodyをログイン可能にしてdateコマンド叩いてみたり、RTCUTCに設定しようとしてみたりとすっとぼけた事ばかりやっていました。問題点がchrootだとさえ理解できていればchrootセキュリティググるだけできちんと解答に行き着いたんですけどね。あぁ、我ながらスキル足らんです。

上記ググり結果の中で非常に良かった記事を一つ。
BINDですが非常に詳細な解説なので参考まで。

@IT:BIND 9のセキュリティ対策(1/2)
http://www.atmarkit.co.jp/flinux/rensai/bind909/bind909a.html
posted by 月水和尚 (とも) at 18:13 | Comment(4) | TrackBack(0) | Linux(UNIX)全般
この記事へのコメント
こんばんは!

>ログの時刻がUTC...
私もこの問題悩んでました。


>セキュリティ対策...
お互い大変ですよね!
自宅環境も、仕事を持ち帰って資料作成とかしているので、セキュリティ対策必須状態です。
取り敢えずは、指紋認証を装着しましたが、
使い勝手悪いな〜!
例えば、風呂上りの剥くんだ指とか乾燥した指は、NG!(笑)
序に、ビールを数本飲んだ後の指紋認証もNG!(笑)

今、仕事も貰っている職場のセキュリティ対策にマニュアルには、人の記憶も暗号化とか書かれている。どうやってやるのか対策方は無い...(笑)

もっと重要なことがありそうな気がするんですけどね!
Posted by yasu at 2006年11月06日 21:30
こんばんは。

chrootですか…
僕はGentooインストール時か、pdaX86でしか使わないので、あまりこういう感覚がなかったですね…

chrootした先のapacheやbindのログは、親のsyslogに吐くものなんですか?それともchroot内で完結?

yasuさんの、「人の記憶も暗号化」面白いですね〜
僕の記憶なんていつでも復号不可で暗号化できますが(笑

ちなみに、指紋じゃないですが、血流認証は冷房のガッツリ効いたマシンルーム内ではダメです。
あと、タバコ吸った後もダメです(笑
Posted by kenya at 2006年11月07日 01:54
yasuさんも悩んでいたとは奇遇ですねぇ。
何しろVPNのサーバプロセスなのでセッションの開始終了時刻などが出力される訳なのですが、そいつが9時間も時差があるのでログが読みにくいったらありゃしません。(涙)
本番リリースを迎える前に解決して本当によかったっす。

chrootした後でも不思議とsyslogは普通に吐けるんですよね。たぶん実際ログ書くのはsyslogdで、chrootしたプロセス的にはsyslog用のメッセージキューに触れればいいだけって事だと思うんですけどどうなんでしょ。/binとか/libとか全く見えないのにプロセスがきちんと動き続けられるのがちょっと不思議。

指紋認証はX60に内蔵されているので使っておりますが、今のところ快適です。たぶん仕事場持ち込み用なので風呂上がりのビールを飲みながら使わずに済んでいるからだと思われます。(笑)

風呂上がりに冷房のがっつり効いた部屋で酒を飲みつつ紫煙をくゆらせた後じゃどんな生体認証もアウトですね。目が血走ってて虹彩認証もアウト。(笑)

人の記憶も暗号化って…。(汗)
セキュリティマニュアルってISMSなりBS7799なりを通過する『だけ』のために作られてるところも多々あるので、非現実的でむちゃくちゃなこと書いてあることありますよね。現実的なことを書かないとかえって守れることすら守ってくれなくなると思うんだけどなぁ。
Posted by tomo at 2006年11月07日 13:04
>風呂上がりに冷房のがっつり効いた部屋で酒を飲みつつ紫煙をくゆらせた後じゃどん
>な生体認証もアウトですね。目が血走ってて虹彩認証もアウト。(笑)

数ヶ月前まで、仕事を頂いていた某会社では、掌形認証を使って入館チェックをしていたのですが、寒い冬は手が悴んでいて何度やってもerrorになってました。
そんな日は、入館する時点で長〜い行列が出来て、その内、顔パスで通過する方とかもいたようです。
指紋にしても掌形にしても、人間のその日の状況と、気温・湿度に影響がある認証はerrorになると、イライラしてきますね(笑)

今使っている指紋認証は、何故かしら「紫煙」の影響は無いようです。


Posted by yasu at 2006年11月09日 21:44
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。