Re: [FreeBSD] Daily Security Check - NFS

[Necati Ersen SISECI]

Selamlar,

/etc/defaults/periodic.conf dosyasinda
daily_status_security_chksetuid_enable
satirini NO yaparsaniz bu taramayi yapmayacaktir.
/etc/periodic/security/100.chksetuid
dosyasi bu tarama islemini yapiyor. Bu dosyanin koduna baktigimizda

       MP=`mount -t ufs | egrep -v " no(suid|exec)" | awk '{ print $3 
}' | sort`

seklinde bir satir var.

Sizin NFS araciligi ile bagladiginiz dosya sistemi nfs olarak gozukmesi 
gerekiyor. Bu durumda da
tarama islemini yapmamasi gerekiyor.

SAN'den direk ufs olarak mount ediyorsaniz ve nosuid yada noexec 
parametreleri isinizi gorebilir.


Iyi calismalar dilerim.

Necati Ersen SISECI
EnderUnix Core Team Member
EnderUnix SDT ~ Turkey 
http://www.enderunix.org



Cagri Ersen yazmış:
Merhabalar,
 
SAN baglantisi olan bir FreeBSD 6.2 serverim var. Bu server 
qmail/vpopmail serverlardan olusan bir cluster yapisi icin, NFS server 
olarak hizmet veriyor ve mail kullanicilarinin posta kutulari burada 
tutuluyor.
 
Her gece saat 03:01'de calisan daily status-security cron jobi, 
default olarak dosya ve dizinlerin setuid'lerini kontrol etmek icin 
bir find komutu calistiriyor.
Ancak NFS serverda cok cok fazla adet dosya bulundugundan dolayi bu 
islem sabah saat 08:30 civarina kadar suruyor.
 
Bu durum disk uzerinde oldukca fazla read I/O'ya neden oluyor. Gecenin 
o saatlerinde sistemde yük olmadigi icin durumun bu sekilde olmasi pek 
problem degil. Ancak yakin bir zamanda, her gece calisarak, mesela 10 
gunden eski maillerin silinmesine yonelik bir job calistiracagim. 
Fakat setuid check icin yapilan find isleminin neden oldugu I/O, bu 
silme islemini epey yavaslatacak.
 
Dolayisi ile setuid check jobini, ilgili disk partisyonu icin devre 
disi birakmak istiyorum.
 
Bunu nasil yapabilirim ya da herhangi bir zarari olur mu?
 
Cevaplayacak arkadaslara simdiden tesekkur ederim.
 
Not: Ayni maili, FreeBSD Guvenlik listesine de gonderecegim, çift 
mesaj icin kusuruma bakmayin.
 
Çağrı Ersen.

---------------------------------------------------------------------
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.

Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6