automountとPAMの組み合わせで出来るかな

こんな感じのことを自動で出来れば良いはず

# mkdir -pv /srv/ftp/jail/$USER/$USER
# mount --bind /home/$USER /srv/ftp/jail/$USER/$USER
# chroot /srv/ftp/jail/$USER

どうしても書き込み可能で安全にchrootさせたい場合は、ユーザー毎に2階層のディレクトリにして、1階層目は書き込み権限無くした上で、1階層目にchrootさせれば良いかな？

chrootする目的はログイン後にホームディレクトリより上の階層にアクセスさせない為だけど、うちのサーバーの場合は、シェルアクセスも許可してるから、あんまりそこに拘る理由はないことに気付いた

chrootした後、余計なことする前に一般ユーザーに権限落とせたりはしないんだろうか

で、サーバーはroot権限で動いてたりするから、最悪の場合はrootでの任意コード実行が出来ちゃう

chrootした後のディレクトリにetc/nsswitch.confみたいなファイルを置くことで、libcとかが/etc/nsswitch.confとして読み込んで、そこから更に、lib/libnss_*.soみたいなライブラリが動的にロードされる、みたいなことが出来るかららしい

警告ってかデフォルトでchrootを拒否される

FTPサーバー(vsftpd)で書き込み可能なディレクトリにchrootするように設定すると警告が出るんだけど、それがなんでって話

なるほどー

security - vsftp: why is allow_writeable_chroot=YES a bad idea? - Server Fault - https://serverfault.com/questions/743949/vsftp-why-is-allow-writeable-chroot-yes-a-bad-idea

ちゃんとローカルユーザーでログイン出来ますね

vsftpdのPAM化かんりょ

あー、これリンカのオプションが間違ってるのかな

なんかビルド通らないですねえ！

1. PAM有効化してリビルドする
2. デフォルトでPAMが有効になってる別のパッケージを使う

/etc/pam.d/vsftpdなんてファイル作ってるのに

どうして

FTPサーバーにログイン出来なくて半日ぐらい頭捻ってたけど、そもそもPAMが無効でビルドされてた

おはーよ

Op25bってやつですね

サーバーにポートスキャンかけたらSMTPだけ開いてなくて、なんでだと思ったら、クライアントの回線で規制掛かってるのか

ビルド思ったより時間掛からんものね

なのでPostgreSQLビルドしようとしたらtclがないって

そもそもSlackwareは公式で提供されてるのがMariaDBしかないのよね

でも流石にもう少し検証しないと厳しいか

今日中にpleromaも移転できるのではって気がしてきてる

ﾖｼｯ

fail2ban動かしてるけど、アタックが来ないせいで効いてるのか分からん

さしすせお仕事だ

SASL認証とか、Submission関係は後でやろう、ミスってた場合怖いし

オープンリレーの確認も問題なし

とりあえず内部からの送受信、外部からの受信、メール配送はおっけい

Postfix/Dovecot起動しましたわ

おはようよう

ちゃんと電源ボタンでロックしてるはずなんだがなあ

どっかのメルマガ→Twitter→Play Storeでアプリのダウンロードが3つぐらいされて、ネットワークエラーで止まってた

なんかポケットの中でスマホが誤操作しまくってた

明日か明後日あたりで、構築と動作確認して、問題なさそうなら置き換え作業って感じかな

まだ設定に自信がないので、とりあえず電源落としてく

ほぼ全部の設定がhttpd.confに書いてあって戸惑うなどしたけど

httpdが起動しました

おはーよ

ねる

今日はここまでー

とりあえずssh繋がった

多分この状態でssh開いたら、大変な気がするのでfail2ban入れるまでは我慢……

絶賛パッチ当て中

PPPoEで繋がった

今日は早いぞお

きたあく

あ、認証情報の管理が一元化できるっていうメリットはあったわ

メールにせよhttpdにせよ、OS上にユーザー情報(もっと言えばホームディレクトリ)が無いと不便なんですもの

まぁ、サーバー増やした時とかに困らなくて済むというメリットはある

せっかくLDAP環境構築したのに、ほぼ全部のサービスがnss-pam-ldapd経由でアクセスしていて、これローカルユーザーでも良かったのでは？ってなってる

P(モンエナ)

さしすせしごと

ArchWikiではアイコンの表示数をひとつにしろって言ってる

https://wiki.archlinux.jp/index.php/Uim_%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6%E6%97%A5%E6%9C%AC%E8%AA%9E%E3%82%92%E5%85%A5%E5%8A%9B#uim-toolbar-gtk-systray:_.E3.83.88.E3.83.AC.E3.82.A4.E3.82.A2.E3.82.A4.E3.82.B3.E3.83.B3.E3.81.8C.E3.81.A4.E3.81.B6.E3.82.8C.E3.81.A6.E3.81.BE.E3.81.99

本来はこういう風に表示される(これはsystrayじゃないやつだけど)

これは今でも駄目だった

あー、ひとつ思い当たるとすると、uim-toolbar-gtk-systrayの複数アイコンが上手く表示できないのが昔あった、今も同じかは分からない

Slackware 15.0(x86_64)
Xfce 4.16
UIM 1.8.8

で使えてる

xfce + uim環境だけど特に支障ないよ？

uim-skkが割と安定してて好き

SKKは良いぞ

おはーーーよ

きたあく

十分ですね

1月1日に合わせてから、3ヶ月で9秒ずれてた

新年度にもなったので時計を合わせます

その代わりによく眠れた

夢は見ませんでした

おはーよ

良い夢を

ねねねる

それまでは繋がらないけど、Postfixとdovecotの設定でもしようか

水曜日にネットワーク周りの諸々が来るのでそれまで待ち

LDAPのアカウントでログイン出来た

ルーターの手前にスイッチングハブ置いて、そっから直接PPPoEで繋ごう、ファイアウォールはサーバーに任せよう

ひとつのルーターでネットワーク3つ管理するのは無理があったんだよ

スパゲッティ状態のネットワークにサーバー足そうとしたら想像以上に苦労して泣いてる

LANケーブル

ネットワークケーブルが足りない

きたああああく

さて、そろそろお仕事しませう……

よし

# ntpdate ntp.nict.jp
# hwclock --systohc

5分は言い過ぎだった、3分ぐらいか

パソコンの時計が気付いたら5分も遅れてる

だいたい新しくOSインストールした夜は悪夢を見る気がする

夢というか寝る前にやったことの続きですねこれ

今日の夢は延々と
$ getent passwd
の結果と睨めっこする夢だった

仕事行きたくなあああ

おはよー

明日までおやすみ

今日はここまでかな

LDAP構築済み

同期に時間掛かりそうだけども

RAIDも無事組めまして

OSのインストール終わり

ふろろろろろろ

早くて安全なのでUNIXドメインソケット好き

Postfix - OpenDKIM間をUNIXドメインソケットでやり取りさせようとしたら微妙に躓いてた

あ、検証じゃない、署名する方だ

OpenDKIMでの署名検証もおっけい

回線繋ぎ替えるとwww.loquat.moeに繋がらなくなるというなやみ

メール送れたのでﾖｼｯ

キーボードの前が散らかってパソコン弄れねえ

ちゃんとコーラもある

ビッグマックを買ったので食べながらパソコン弄ってgeekごっこする

泳いでお昼ー

およぐーぐぐ

およぎにいく

キッチンタイマー作るか

M5Stackってキッチンタイマーに似てるなって今気付いた

おはようの世界