2008年10月23日

[linux-users:108139] file with perm 000 is still r/w avilable

堀田@長崎市です。超お久しぶりです(^^)

職場(大学)で、Linux 端末へのログインには LDAP 認証を使っており、
/home/(ユーザ名) はファイルサーバから NFS で提供しています。この
環境で、Linux 端末上で chmod 000 したファイルが所有者から r/w 可
能になっていて、授業でテキストの通りにならんw!!と先生から指摘さ
れました。

調べてみると、local mount している /tmp とかだと症状が出ません。
NFS マウント先の I/O でこうなるようです。

構築はコンサル業者さんに任せていていま一つ把握できていないところ
もあるのですが、何かお気づきの点がありましたらご教示いただきたく。
長文ですみません。

【症状】
hotta@xxxxx ~$ echo 'test'> a
hotta@xxxxx ~$ ls -l a
-rw-r--r-- 1 hotta Domain Users 5 10月 23 17:28 a
hotta@xxxxx ~$ cat a
test
hotta@xxxxx ~$ chmod 000 a
hotta@xxxxx ~$ ls -l a
---------- 1 hotta Domain Users 5 10月 23 17:28 a
hotta@xxxxx ~$ cat a
test
hotta@xxxxx ~$ echo 'line 2' >> a
hotta@xxxxx ~$ cat a
test
line 2
hotta@xxxxx ~$ id hotta
uid=10050(hotta) gid=513(Domain Users) 所属グループ=1007(sysad),
10000(all-member),9040(all-s),9020(all-staff),9021(support),
1020(facility),1026(cron),1016(npu-is),513(Domain Users)
hotta@xxxxx ~$ ls -ln a
---------- 1 10050 513 12 10月 23 17:29 a

【端末環境(VMware)】

hotta@xxxxx ~$ head -1 /etc/issue
CentOS release 5.2 (Final)

hotta@xxxxx ~$ rpm -qa|grep -e ldap -e nfs
system-config-nfs-1.3.23-1.el5
python-ldap-2.2.0-2.1
openldap-clients-2.3.27-8.el5_2.4
openldap-2.3.27-8.el5_2.4
nss_ldap-253-13.el5_2.1
php-ldap-5.1.6-20.el5_2.1
nfs-utils-lib-1.0.8-7.2.z2
nfs-utils-1.0.9-35z.el5_2

hotta@xxxxx ~$ cat /etc/fstab(たぶん関係なし)
/dev/VolGroup00/LogVol00 / ext3 defaults 1 1
LABEL=/boot /boot ext3 defaults 1 2
tmpfs /dev/shm tmpfs defaults 0 0
devpts /dev/pts devpts gid=5,mode=620 0 0
sysfs /sys sysfs defaults 0 0
proc /proc proc defaults 0 0
/dev/VolGroup00/LogVol01 swap swap defaults 0 0
# Beginning of the block added by the VMware software
.host:/ /mnt/hgfs vmhgfs defaults,ttl=5 0 0
# End of the block added by the VMware software
file6:/all-member /mnt/all-member nfs4 soft,intr,nosuid 0 0
file7:/public /mnt/public nfs4 soft,intr,nosuid 0 0

hotta@xxxxx ~$ grep ^[^#] /etc/auto.master
/misc /etc/auto.misc
/net -hosts
/home ldap://file4.sun.ac.jp/nisMapName=Users,ou=NFS,dc=npu,dc=ac,dc=jp --timeout=60
+auto.master

hotta@xxxxx ~$ ldapsearch -x -LLL -b \
ou=Nagasaki,nisMapName=Users,ou=NFS,dc=npu,dc=ac,dc=jp '(cn=hotta)'
dn: cn=hotta,ou=Nagasaki,nisMapName=Users,ou=NFS,dc=npu,dc=ac,dc=jp
nisMapName: users
objectClass: nisObject
description:: MDcvMDIvMTUg
nisMapEntry: -fstype=nfs4,soft,intr,nosuid file4:/hotta
cn: hotta

hotta@xxxxx ~$ grep ^[^#] /etc/ldap.conf
base dc=npu,dc=ac,dc=jp
timelimit 120
bind_timelimit 120
idle_timelimit 3600
nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman
uri ldap://file4.sun.ac.jp
ssl no
tls_cacertdir /etc/openldap/cacerts
pam_password md5

hotta@xxxxx ~$ grep ldap /etc/nsswitch.conf
passwd: files ldap
shadow: files ldap
group: files ldap
netgroup: files ldap
automount: files ldap

authconfig-tui(端末、サーバともほぼ同じ)
* キャッシュ情報
* LDAPを使用
* シャドウパスワードを使用
* LDAP認証
* ローカル認証は十分です
サーバー:ldap::file4.sun.ac.jp
ベースDN:dc=npu,dc=ac,dc=jp

【サーバ環境(実機)】file4 (CNAME sylphy)

m-hotta@xxxxx ~$ head -1 /etc/issue
CentOS release 5 (Final)

m-hotta@xxxxx ~$ rpm -qa|grep -e ldap -e nfs
system-config-nfs-1.3.23-1.el5
openldap-2.3.27-8
python-ldap-2.2.0-2.1
php-ldap-5.2.5-1.npuc
openldap-clients-2.3.27-8
nfs-utils-1.0.9-24.el5
nss_ldap-253-5.el5
mod_authz_ldap-0.26-8.el5
openldap-servers-2.3.27-8
nfs-utils-lib-1.0.8-7.2.z2

m-hotta@xxxxx ~$ cat /etc/exports
/home 10.0.0.0/255.0.0.0(rw,sync,root_squash,insecure,fsid=0)
/home 172.18.32.0/255.255.224.0(rw,sync,root_squash,insecure,fsid=0)
/home 172.24.0.0/255.255.0.0(rw,sync,root_squash,insecure,fsid=0)

m-hotta@xxxxx ~$ sudo ls -ld /home/hotta
drwx-----x 31 hotta 10050 4096 10月 23 17:28 /home/hotta
m-hotta@xxxxx ~$ sudo ls -ld /home/hotta/a
---------- 1 hotta Domain Users 12 10月 23 17:29 /home/hotta/a
m-hotta@xxxxx ~$ id hotta
uid=10050(hotta) gid=513(Domain Users) 所属グループ=1007(sysad),
10000(all-member),9040(all-s),9020(all-staff),9021(support),
1020(facility),1026(cron),1016(npu-is),513(Domain Users)

--
HOTTA Michihide <hotta@xxxxx>

投稿者 xml-rpc : 2008年10月23日 18:10
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/78231
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。