Linuxサーバーrootからのメッセージ

いつもお世話になっています。

Turbo Linux Server 6.1Ｊから、ftp版のTurbo Linux Server 6.5にアップグレードしました。

昨日、INSからADSL固定IPサービスへ移行して、各種のサーバーを立ち上げて、rootからのメッセージをクライアントＰＣから受け取りました。
その中に、下記のエラーが毎時間、1件以上出ているのですが、これはどのような意味で、修正する方法があれば是非教えてくださいお願いします。

Dec 5 12:01:00 xx CROND[2361]: (root) CMD (run-parts /etc/cron.hourly)
　　　　　　　　：
Dec 5 11:01:59 xx ipop3d[2246]: Mailbox vulnerable - directory /var/spool/mail must have 1777 protection

No.3 ベストアンサー 回答者： a-kuma 回答日時： 2001/12/05 14:47

No.2 の回答に補足を。

ranx> このディレクトリはメールの保管場所だと思います。
ranx> そのアクセス権を1777にしてしまっては、誰でもアクセス
ranx> できることになってしまい、かえって危険です。

/var/spool/mail は、メールボックスファイルが置かれるディレクトリです。
だから、メールを扱うプログラムがアクセスできるようにアクセス権限をつける
のが普通です。

制限をかけるのは、このディレクトリに配置されるメールボックスに対して、です。
/var/spool/mail の下を見てみると分かると思いますが、メールボックスがそれぞれ
所有者とグループに読み書きの権限がついていて、グループが mail になっている
はずです。

で、ディレクトリのモードが 777 ではなく 1777 になっているのがミソなん
です（スティッキィビットといいます）。

メールを扱うプログラムが本人か root だけだと、バックで動くプログラムを
全て root 権限で動作させることになってしまいます。そのセキュリティホールを
つかれると、root 権限をのっとられてしまうので、できるだけプログラムは
root 権限で動かさない方が良いんです。

ディレクトリにスティッキィビットがついていると、そのディレクトリ配下の
ファイルは root じゃなくても、ファイルの所有者・ディレクトリの所有者・書き込み
可能の *どれかの* 条件を満たしていると更新ができます。

そうすることで、メールを扱うプログラムを root 以外の権限で動かすことができ、
最悪、権限をのっとられても、たいした悪さができないようにリスクを軽減すること
ができます。

この回答へのお礼

再度、詳細なる書き込み有難うございます。

今、書かれた内容を読み返して、パーミッションを変更しました。

どのカーネルからか分かりませんが、セキュリティ対策が盛り込まれていたとは知りませんでした。ありがとうございました。

お礼日時：2001/12/05 15:11

No.2 回答者： ranx 回答日時： 2001/12/05 13:58

> Mailbox vulnerable - directory /var/spool/mail must have 1777 protection

メッセージ、写し間違えていませんか？
字義通りにとればa-kumaさんのおっしゃる通りですが、
このディレクトリはメールの保管場所だと思います。
そのアクセス権を1777にしてしまっては、誰でもアクセス
できることになってしまい、かえって危険です。

この回答へのお礼

ranxさん、アドバイスありがとうございます。

今、先程吐かれたものをつけます。

Dec 5 13:57:40 xx inetd[433]: pid 2632: exit status 1
Dec 5 14:01:00 xx CROND[2644]: (root) CMD (run-parts /etc/cron.hourly)
Dec 5 13:02:13 xx ipop3d[2530]: port 110 service init from 192.168.0.9
Dec 5 13:02:14 xx ipop3d[2531]: port 110 service init from 192.168.0.9
Dec 5 13:02:14 xx ipop3d[2531]: Mailbox vulnerable - directory /var/spool/mail must have 1777 protection
Dec 5 13:02:14 xx ipop3d[2531]: Mailbox vulnerable - directory /var/spool/mail must have 1777 protection
Dec 5 13:02:41 xx ipop3d[2532]: port 110 service init from 192.168.0.25
Dec 5 13:03:41 xx ipop3d[2533]: port 110 service init from 192.168.0.25

アドバイスのとおり、/var/spool/mail はディレクトリであり、パーミッションはデェフォルトは"775"なので、どうしようか迷っています。定義ミスでなく放置して構わないものなら、そのままにしたいと思います。

さらに、セキュリティも考慮していただいて、ありがとうございました。まずはお礼まで・・・。

お礼日時：2001/12/05 14:53

No.1 回答者： a-kuma 回答日時： 2001/12/05 13:32

幾つかのメッセージを省略しているようですが、質問に有る二つのメッセージについて。

> Dec 5 12:01:00 xx CROND[2361]: (root) CMD (run-parts /etc/cron.hourly)

これは「クーロン」というバックグラウンドで処理を行う仕組みがある（例えば、
毎日決った時刻に、あるプログラムを動作させたい、とか）のですが、そのメッセージ
です。

「一時間おきに起動の指定がある分についての処理をしました」という、ただの通知です。


> Dec 5 11:01:59 xx ipop3d[2246]: Mailbox vulnerable - directory /var/spool/mail must have 1777 protection

これは、そのままの通り /var/spool/mail ディレクトリの権限が 1777 になっている
ことを期待するプログラムがいて(*)、そうなっていないよ、という警告です。

もし、気になるのだったら、権限を変えておきましょう。

% chmod 1777 /var/spool/mail

　　(*) 正確に言うと、ちょっと違う

この回答へのお礼

回答有難うございました。
まず、クローンで、バックグラウンドジョブのメッセージ程度なら放置したいと思います。

もう一件は、/var/spool/mail の権限は、もともと”775”ですが、これを回答によると”1777”にすればこの警告は出なくなるというものでしょうか？この”1777"というのは初めて見たのですが・・・。

状況は、各種サーバー類を1日で定義・作成したために、どこかの定義ミスによるものか、ディバイスのモジュール関係で引っかかったのか不安でした。回答された内容から安心しています。ありがとうございました。

お礼日時：2001/12/05 14:44