« 2006年4月 | トップページ | 2006年7月 »

2006年5月20日 (土)

NetSkyウィルスって

 ここ一月の間で、W32.Netsky.D@mmっていうウィルスを11匹捕まえてる。うちのWindows機には、SymantecのNorotn SystemWorks 2006 Premierを入れてるんだけど、こいつがそのうちの9匹を自動的に駆除してくれてる。
 残りの2匹はというと、アカウントリトリーバーのfetchmailで自宅のメールサーバに入れたおかげで、IMAPメールボックスの中で生きながらえてる。けど、ダンプを眺めてみようかな? なんて思ってウィルス本体である添付ファイルを切り出そうとすると、SystenWorksが気を利かせて削除してくれるもんだから、ちょっとした知的好奇心(笑)を満たせずにいる(ぉぃ)。
 ただ、人の振り見て何とか、ってわけじゃないけどこればっかりは他人事で済ませられないよね。明日は我が身、だから。
 それにしてもウザいな、ウィルス。

| | コメント (0) | トラックバック (0)

2006年5月 6日 (土)

Struggle against OpenLDAP

 久々の更新。なんだか100ユーザー程度の規模のディレクトリサーバ(実物をまだ見てないんだけど、Windows Active Directoryらしい)を管理することになりそうなので、FC5をインストールしたVAIO R505上でOpenLDAPをいじってみることにした。

 まずはインストールしなければ始まらないんだけど、yumで見てみるとクライアント部(openldap-clinets)はすでにインストール済みのようなので、yum install openldap-serverでサーバ部をインストール。う〜む、コンパイル済みパッケージをいれるだけ、っていうのはとてもイージーだ。

 それはさておき、まだ僕は「ディレクトリサービスってなんじゃい?」ってレベルなので、UNIX USERの過去記事を参照したり本屋で技術評論社のLDAP Super Expertを買ってきたりして、ローカルアカウントをLDAPに移行するための設定にチャレンジする。

 DIT? DN? 属性値? う〜む、始めて聞く言葉がいっぱい出てきて困ったぞ。DNSのときと同じで、こいつも理解するまでとても時間がかかりそうだ。ただ救いなのは、RPMでインストールするとMigrationToolsっていうローカルアカウントをLDAPに移植するための支援ツールもいっしょにインストールされるので、こいつで根こそぎLDAP化できることだ。

 ということでこのMigrationToolsがインストールされている/usr/share/openldap/migrationへ移動して、ディレクトリの中身をちょっと眺めてみる。

-rw-r--r--1rootroot18552月 14 01:23README
-rwxr-xr-x1rootroot26562月 14 01:23migrate_aliases.pl*
-rwxr-xr-x1rootroot29542月 14 01:23migrate_all_netinfo_offline.sh*
-rwxr-xr-x1rootroot29502月 14 01:23migrate_all_netinfo_online.sh*
-rwxr-xr-x1rootroot30082月 14 01:23migrate_all_nis_offline.sh*
-rwxr-xr-x1rootroot30032月 14 01:23migrate_all_nis_online.sh*
-rwxr-xr-x1rootroot31682月 14 01:23migrate_all_nisplus_offline.sh*
-rwxr-xr-x1rootroot31502月 14 01:23migrate_all_nisplus_online.sh*
-rwxr-xr-x1rootroot52712月 14 01:23migrate_all_offline.sh*
-rwxr-xr-x1rootroot74724月 30 20:04migrate_all_online.sh*
-rwxr-xr-x1rootroot32822月 14 01:23migrate_automount.pl*
-rwxr-xr-x1rootroot27372月 14 01:23migrate_base.pl*
-rw-r--r--1rootroot88994月 30 18:47migrate_common.ph
-rwxr-xr-x1rootroot29562月 14 01:23migrate_fstab.pl*
-rwxr-xr-x1rootroot27182月 14 01:23migrate_group.pl*
-rwxr-xr-x1rootroot27552月 14 01:23migrate_hosts.pl*
-rwxr-xr-x1rootroot38832月 14 01:23migrate_netgroup.pl*
-rwxr-xr-x1rootroot28602月 14 01:23migrate_netgroup_byhost.pl*
-rwxr-xr-x1rootroot28602月 14 01:23migrate_netgroup_byuser.pl*
-rwxr-xr-x1rootroot28442月 14 01:23migrate_networks.pl*
-rwxr-xr-x1rootroot55972月 14 01:23migrate_passwd.pl*
-rwxr-xr-x1rootroot24322月 14 01:23migrate_profile.pl*
-rwxr-xr-x1rootroot28772月 14 01:23migrate_protocols.pl*
-rwxr-xr-x1rootroot28582月 14 01:23migrate_rpc.pl*
-rwxr-xr-x1rootroot100202月 14 01:23migrate_services.pl*
-rwxr-xr-x1rootroot34232月 14 01:23migrate_slapd_conf.pl*
-rw-r--r--1rootroot80602月 14 01:23migration-tools.txt

 この面々を見ていると、別にローカルアカウント->LDAPだけじゃなくて、NIS+で格納されている情報や/etc/services、/etc/protocolsなんかもLDAP化できるようだ。このあたり、/etc/nsswitch.confも眺めてみて納得。

 これを踏まえた上で、手始めにユーザーとグループの設定をLDAP化してみることにした。使うスクリプトはmigrate_passwd.plmigrate_group.plなんだけど、付属のREADMEを読むと、「使う前にmigrate_common.ph$DEFAULT_MAIL_DOMAIN$DEFAULT_BASE変数の値を、自分の環境に合うように編集しなさい。」と書いてあったので、その通りに編集。家サーバプロジェクトにformula97.dip.jpのドメインを登録してもらっているので、それぞれの型に合うように書くだけだ。

 編集が終わったらrootで作業するので、出力されたLDIFを格納しておくための/root/ldifをmkdirしておいて、それぞれを出力してみる。

  ./migrate_passwd.pl /etc/passwd ~/ldif/passwd.ldif
  ./migrate_group.pl /etc/group ~/ldif/group.ldif

 システムアカウントだろうが一般ユーザーだろうが全部ひっくるめて出力されるので、登録するときには必要な部分だけ切り出さなければならないんだけど、今のところユーザーは自分しかいないので、結局残ったのは自分だけになってしまった。まぁ、こいつを雛型にすれば部署ごとのLDIFを書くのも簡単かな?

 あとはLDAP Super Expertの記述に沿ってACL設定をslapd.confに書いたりauthconfigコマンドでLDAP認証の設定を追加したりして、テキストファイルベースだったユーザー情報をLDAPに移行するわけなんだけど、ここまでは特に問題なく終了。この状態で再起動してみる。

 きちんと起動しているようだ...と言いたいところなんだけど、Message Bus Daemon(dbus-daemon)ってやつの起動でこけてしまうみたいで、Xを使った普段のログインができない。強制終了した後、iキーを押して対話的起動モードで起動してdbus-daemonだけ無効にして起動してみても、結果は同じ。

 Xが使えないからといって、僕自身特に困るわけじゃない(むしろ大きなプロセスがへって、実運用時にはメモリの節約になる)んだけど、問題がある状態で運用するのは例えテスト環境とはいえ気持ち悪い。ところでdbus-daemonってなんだ? ってわけでmanpagesを読むんだけど、「詳しくはhttp://www.freedesktop.org/software/dbus/を読め」なんて書いてある。むぅ、なんか不親切だなぁ。ただ設定ファイルを眺めているとSELinuxについての記述があるので、SELinuxとなんらかの関係があることは間違いなさそうだ。

 なんにせよちゃんと起動してくれないことには始まらないので、Xを一時的に無効にしてコンソールログインしたあと、authconfigコマンドでLDAP認証に関する設定を無効にして再起動すると、何事もなかったかのように普通に起動した。

 ということで、次はこのdbus-daemonとSELinux、Xあたりの関係を調べる必要がありそうだ。

| | コメント (0) | トラックバック (0)

« 2006年4月 | トップページ | 2006年7月 »