perlモジュールはだいたいインストール方法変わらないので、SBoのスクリプトのバージョンだけ書き換えでなんとかなるかな

とりあえず、Digest::SHA1まで確認

$ ls /var/lib/pkgtools/packages | grep _SBo$ | grep perl | wc -l
26

SBoのperlモジュール、割とメンテされてない

ぐえ

時計メーカーが出してるNTPサーバーとか置きたいけど、お高い上にNICT以上の精度が出るわけでもないと思うので保留

ちゃんとNTPも設定しようね……

起動状態でもこんなにずれる？？

びわそーしゃるのTOTPなんか時々失敗するなと思ったら、25secもずれてた

あー、どっちかっていうと、smb://とかのURLっぽいやつをよろしくやってくれるサービスって方が正しいのか(ふわふわ

あとごみ箱の機能とか

gvfsってファイルマネージャからリムーバブルディスクマウントしたりするサービスじゃなかったっけ

折角主鍵引っ張り出したので、 Keyoxide対応をするなどした

うぃ
https://keyoxide.org/007F98343666C5221136A6E4F84D82C16A8FFDF5

若干問題があるとすると、カードリーダーが繋がってると、SmartCard挿さってなくても、GPGがそっち見に行っちゃうらしく、YubiKeyが使えなくなること

ちゃんと夢の通りにSmartCardに鍵の書き込みができました

PGP SmartCardに秘密鍵書き込んでる夢見たけど、起きたらFactory Resetしただけだった

9割復活

おはよう世界

とてもねむい

ボイロメカバレはいいぞ

ANDROID CONCEPT - ゆうぐれさんぽうぇぶ！ - BOOTH - https://booth.pm/ja/items/3815076

ぬぁー調子が出ない

# slackpkg show-changelog
Wed Apr 27 21:43:51 UTC 2022
patches/packages/curl-7.83.0-x86_64-1_slack15.0.txz: Upgraded.
This update fixes security issues:
OAUTH2 bearer bypass in connection re-use.
Credential leak on redirect.
Bad local IPv6 connection reuse.
Auth/cookie leak on redirect.

これか

8割復活

おはよう

ちなみに流行りのやつじゃありませんでした(検査はした

やっとこさ復活してきた

満身創痍ー

あとお腹の調子が悪いので食欲がないのよねえ

熱はありそうでない

なんか節々が痛ひ

それはさておき、今日は具合が悪くてお休みです

おでかける

おはぐえ

寝たくないというか体感時間を伸ばしたい

明日、というか今日の後処理が面倒で寝たくなさはあるけど

さて、そろそろ寝ましょ

まー元を辿れば日頃の行いと言えばそうなのですが

あと3日でGWって時に何故ここまで忙しくならないといけないの

まぁ、後2つはほぼ同じですが

どうして

ズボンのチャックが壊れ、締め切り直前にトラブり、締め切りを逃した

ぐぐえ

おはーよ

なんかぼんやりアニメを飛ばし見してたら土日が終わった

かいせんどーん

海鮮丼

ちょっと遠いけど久々にモス買って帰ろうかしら

お昼どうしよ

今日はいつもより泳いだのでとてつもなくえらい

おはよう世界

顔本でやれ

喫茶店に行こう

副鍵はYubiKeyに入れていて、これは主鍵用として運用しようかと

まぁ、カードリーダー無いので読めないんですけど

届いた

おはようせかい

というか、SuExecが有効だから、ユーザーのcgi-binが侵害されれば、apacheユーザーの権限どころか、ユーザー自身の権限で自由に動けるわけですし

まーでも、そのぐらいは許容かな

この場合、apacheユーザーは全ユーザーの少なくともホームディレクトリにはアクセス出来るし、umask=0022の場合、パスさえ分かればホームディレクトリ以下の任意のファイルが読めることになる

要するに
$ setfacl -m "u:apache:--x"

https://wiki.archlinux.jp/index.php/%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E5%88%B6%E5%BE%A1%E3%83%AA%E3%82%B9%E3%83%88#.E3.82.A6.E3.82.A7.E3.83.96.E3.82.B5.E3.83.BC.E3.83.90.E3.83.BC.E3.81.AB.E3.83.97.E3.83.A9.E3.82.A4.E3.83.99.E3.83.BC.E3.83.88.E3.81.AA.E3.83.95.E3.82.A1.E3.82.A4.E3.83.AB.E3.81.AE.E5.AE.9F.E8.A1.8C.E6.A8.A9.E9.99.90.E3.82.92.E4.B8.8E.E3.81.88.E3.82.8B

先週ぐらいに悩んでた、ApacheのUserDirとホームディレクトリのパーミッションの問題、これで良い気がする

あ

ああああああああ

きたああああああああく

やってること仕事と大して変わらないのに、何故

最近気づいたけど、お仕事が忙しいとマイコン弄りたくなる

効果は分からんけど、それはドリンクも同じなのでー

お仕事忙しい時、寝る前に飲む疲労回復系のドリンクよく飲んでたんだけど、これって結局ビタミン補給だよな……って思って、ビタミン剤飲んで寝る習慣になった

(ビタ)ミン剤を飲んで寝る

NERU

きたっく

suexecの実行ユーザーチェックを迂回出来る場合の対策で、そもそも実行ユーザーのグループ以外はsuexecを実行できないようにする感じ

Apacheのwebサイトにあるアドバイスに従って、
chgrp apache /usr/sbin/suexec
chmod 4750 /usr/sbin/suexec
もやってる

> AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
おっけー

パッケージ名はhttpdなのに

実行ユーザー名、httpdだと思ったらapacheだった

httpdのsuexecを有効にするなどする

とりあえずやることやったので、ねる

復旧

というかこれ、データ引っこ抜いて新サーバーに移した方が早くないか

実はパスワード忘れてアクセス手段がないので、amelia.loquat.moeを落として、HDD引っこ抜いて更新します

とりあえず残ってる4/6までのログにはadmin.cgiへのアクセスはなし

一応、XSSは手前にあるmodsecurityで弾いてくれるはずですが

ゔぇ

JVN#59576930: ぜろちゃんねるプラスにおけるクロスサイトスクリプティングの脆弱性 - https://jvn.jp/jp/JVN59576930/

ぐえーかえる

しゃわったら目が覚めた

ねっむい

おはーよ

かえ

さしすせお仕事

おはーよ

@kanade_lab おやありでしたー！

今日も眠いので寝る

このアカウントは、notestockで公開設定になっていません。

このアカウントは、notestockで公開設定になっていません。

一体、どこを彷徨っていたの

日本に届くまで1ヶ月掛かった荷物がやっと届きそう

ふろろ

しごおわ

思ってたより最近

最後に夢日記つけたのが

検索機能のテストがてらハッシュタグで調べたら、3/9ですって

そう言えば最近夢見ない

ぬあー、やる気が起きねえ

ログの書き込み量が結構多いので、これだけ何とかしないといけなそうだけども

そういえばサーバーはとりあえず無事だよ

おはーよ

明日の朝起きて、サーバーが何かヤバいことになってなければ、とりあえず良しとする

さて、今日は一日中眠かったので、もう寝ましょう

問題なさそうなので、VPS解約

ありがとありがと！

ふぁぼられたので大丈夫そう、ありがとうございます！

見えています？

そういえば、とりあえず投稿は受信出来てるのは確認できるけれど、このサーバーの投稿が送信出来てるかどうかは確認してない

daemonコマンドでバックグラウンド動作も完璧になったので、完璧です

ANALYZEしたら直ったのでヨシッ！

とりあえず復帰、だけどDBがめちゃくちゃ重い

実況中継はTwitterで

こういう時に、別インスタンスにアカウントがあった方が良いかも、となる

さて、サーバーの移転をするので、暫く繋がらなくなります

けど泳ぐー

めちゃくちゃねむい

CREATE INDEX が終わらない

おはーよ

ねるる

まー、ディスクが溢れなければヨシッ

普段データベース使わないので、デカいのか分からぬ

gz圧縮しても1GB近くある

とりあえずpg_dumpで雑に引っこ抜いたデータを食わせる

これ絶対PostgreSQLのバージョンアップする時事故るやつだ

で、更にビルドスクリプトのconfigureオプションに--with-uuid=osspを追加する必要がある

PG_EXTENSIONS=ALL でpg_trgmはビルドされるけど、uuid_osspの方は更にlibrareis/uuidが必要

Pleroma使う場合、pg_trgmとuuid_osspの拡張機能が必要だけど、SlackBuildそのままだとこの辺がビルドされない

あとはもう少し動かしてみて、大丈夫そうならサーバー移転ですね

localはpeer認証なので、これでPleroma実行ユーザーだけが安全、高速にデータベースに接続出来る

Pleroma - Postgres間をUnixソケットで繋ぐの出来た

とりあえず何も考えずにPostgreSQL入れた

ふろる

OpenSSLの関数が無いとかなんとか

Pleromaのビルド済みバイナリ使おうとしたら、なんかエラーが出た

金曜日なので無敵

かえるるる

なんか(ふわふわ

積んでるDevTermなんかに使いたくなってきた

おはーよ

とりあえず、もう寝ましょう

とりあえずうちのサーバーは入れるにしても身内だけなので、諦めてumask 0022でhttpdから見られるようにして、どうしても見られたくないファイルは各自でパーミッション変えてねってことにする

難しいというか、工夫されてるというか

とりあえずなんか難しい仕組みで動いてるっぽいことは分かったので、ここまでにしておこう

多分そんな感じ

だと思っていたんだけど、少なくとも今見た感じでは、httpdをユーザー毎にユーザーの権限で起動することで、その制限を回避してる、っぽい

そして、大抵の場合、httpdは専用のユーザーで動いてるので、ホームディレクトリ内のファイル、例えば~/www/index.htmlみたいなのにアクセスするには読み取り権限が必要

httpdがホームディレクトリの所有者以外で動いてる場合は、その他読み取り権限がないとだめ

あと、ユーザーの権限でhttpdが動いてる
だからホームのパーミッションが0700でも見えるのか

/var/logは見えない
なるほど、なるほど……

プラン毎にサーバーが違うようなことが書いてあった気がするから、そういうのもあるかもしれない

シェルログインしてみたけど、こっちの環境だとrwx------だった

@kmy_myun そんな感じー
レンタルサーバーは複数のユーザーがひとつのサーバーを共有する都合上、どこかには共有してるユーザーの一覧が必要になるのよ

@kmy_myun こればかりは仕方なし……。
さくらに限らず、他のサーバーでもCGI置けるところなら、見ようと思えば見られる気もするし

で、私は他人のホームディレクトリが覗きたいわけでは勿論なくて、同じようなことを自分のサーバーでやろうとした場合の懸念点に対して、「ちゃんと」設定されたサーバーがどうやって対処しているかに興味があるだけ

同じサーバーに収容されてる人が誰か分かるだけ

中身は見えなかったよ！

とりあえずスタンダードプランで申し込み

@kanade_lab
確認ありがとうございます。
rwx---r-xだけ見ると中身まで見えそうですが、見えないんですね……。
何かしらの方法で所有者以外はアクセスできないように制限かけてるみたいですね。

/home/xxxはホームディレクトリなのであんまり他人から見えて欲しくない(umask 0027にしたい)、一方でその他ユーザーに最低限検索権限(o+x)は与えないと、httpdからアクセス出来ないという

@kanade_lab
あー、やっぱり見えますよね、そこから更に/home/他人のIDの中が見えるのかが気になってます。
見えないと多分コンテンツを公開できないのですが、一方で他人のホームが見えちゃって良いのかという部分もあり……

さくらとかでシェルログイン付きのサーバー借りて、どうやって管理してるか見てみれば良いのか

まぁ、やりようは幾らでもあるけども

じゃあ、ホームディレクトリのアクセス権を制限しつつUserDirで公開するのは難しいのか

だそうで

> S_IXUSR (00100)
> 所有者による実行 (execute) / 検索 (search) (「検索」はディレクトリに対して適用されるもので、 そのディレクトリ内のエントリーへアクセスできるかを意味する)
https://linuxjm.osdn.jp/html/LDP_man-pages/man2/chmod.2.html

親ディレクトリに実行権限ついてないと駄目っぽいけど、そうだっけ

ホームディレクトリのパーミッションが0750とかだとhttpdからアクセス出来無い……？

ぐえー

きたっく

移転ついでにフロントエンドをPleroma-FEに戻そうかと

ので、ここに繋がらなくなることがある、かも

今日明日あたりでサーバー移転したい

おはーよ

きたあく

あとIMAPでSTARTTLS必須にしてるのが理解出来なくてそのまま認証通そうとして拒否られてるっぽいのとか

sshdで公開鍵認証必須にしてるのにパスワード認証でやって来て門前払いされてるとか

ただ、現状だと攻撃が成立してない場合が多くて、そもそもfail2banに引っ掛かることがあんまりない

fail2banのフィルタ設定をちょっと見直すなどした

でびあん？

おはーよ

操作性はとてもよろしくないが

スマホからサーバーにアクセス出来るようになったので、暇つぶしが出来る

ぬあーしごおわ

ぬあーげつようび

おはーよ

FTPSとSFTPってどっちが先なんだろうと思ったら、どっちも1997っぽい

SFTPは名前が似てるだけなので……

STARTTLS付きのFTPはFTPSなのか
その場合、待ち受けは21なのか990なのか

FTPとFTPSの違いが分からん

もうちょっと人の少ないところにすべきでしたね……

お花見に行ってきた

なんで/srv分割しなかったんですか

/が溢れた

automountとPAMの組み合わせで出来るかな

こんな感じのことを自動で出来れば良いはず

# mkdir -pv /srv/ftp/jail/$USER/$USER
# mount --bind /home/$USER /srv/ftp/jail/$USER/$USER
# chroot /srv/ftp/jail/$USER

どうしても書き込み可能で安全にchrootさせたい場合は、ユーザー毎に2階層のディレクトリにして、1階層目は書き込み権限無くした上で、1階層目にchrootさせれば良いかな？

chrootする目的はログイン後にホームディレクトリより上の階層にアクセスさせない為だけど、うちのサーバーの場合は、シェルアクセスも許可してるから、あんまりそこに拘る理由はないことに気付いた

chrootした後、余計なことする前に一般ユーザーに権限落とせたりはしないんだろうか

で、サーバーはroot権限で動いてたりするから、最悪の場合はrootでの任意コード実行が出来ちゃう

chrootした後のディレクトリにetc/nsswitch.confみたいなファイルを置くことで、libcとかが/etc/nsswitch.confとして読み込んで、そこから更に、lib/libnss_*.soみたいなライブラリが動的にロードされる、みたいなことが出来るかららしい

警告ってかデフォルトでchrootを拒否される

FTPサーバー(vsftpd)で書き込み可能なディレクトリにchrootするように設定すると警告が出るんだけど、それがなんでって話

なるほどー

security - vsftp: why is allow_writeable_chroot=YES a bad idea? - Server Fault - https://serverfault.com/questions/743949/vsftp-why-is-allow-writeable-chroot-yes-a-bad-idea

ちゃんとローカルユーザーでログイン出来ますね

vsftpdのPAM化かんりょ

あー、これリンカのオプションが間違ってるのかな

なんかビルド通らないですねえ！

1. PAM有効化してリビルドする
2. デフォルトでPAMが有効になってる別のパッケージを使う

/etc/pam.d/vsftpdなんてファイル作ってるのに

どうして

FTPサーバーにログイン出来なくて半日ぐらい頭捻ってたけど、そもそもPAMが無効でビルドされてた