Necati Bey,
Dediginiz gibi, ilgili disk bolumune "mount -u -o nosuid /falanca" seklinde
nosuid opsiyonunu ekledim ve scripti calistirdim; bu sekilde chksetuid
islemi o disk bolumu icin yapilmiyor.
Yardimlariniz icin tesekkur ederim.
Çağrı Ersen.
On Jan 7, 2008 8:42 AM, Necati Ersen SISECI <[EMAIL PROTECTED]> wrote:
> Selamlar,
>
> /etc/defaults/periodic.conf dosyasinda
> daily_status_security_chksetuid_enable
> satirini NO yaparsaniz bu taramayi yapmayacaktir.
>
> /etc/periodic/security/100.chksetuid
> dosyasi bu tarama islemini yapiyor. Bu dosyanin koduna baktigimizda
>
> MP=`mount -t ufs | egrep -v " no(suid|exec)" | awk '{ print $3
> }' | sort`
>
> seklinde bir satir var.
>
> Sizin NFS araciligi ile bagladiginiz dosya sistemi nfs olarak gozukmesi
> gerekiyor. Bu durumda da
> tarama islemini yapmamasi gerekiyor.
>
> SAN'den direk ufs olarak mount ediyorsaniz ve nosuid yada noexec
> parametreleri isinizi gorebilir.
>
>
> Iyi calismalar dilerim.
>
> Necati Ersen SISECI
> EnderUnix Core Team Member
> EnderUnix SDT ~ Turkey
> http://www.enderunix.org
>
>
>
> Cagri Ersen yazmış:
> > Merhabalar,
> >
> > SAN baglantisi olan bir FreeBSD 6.2 serverim var. Bu server
> > qmail/vpopmail serverlardan olusan bir cluster yapisi icin, NFS server
> > olarak hizmet veriyor ve mail kullanicilarinin posta kutulari burada
> > tutuluyor.
> >
> > Her gece saat 03:01'de calisan daily status-security cron jobi,
> > default olarak dosya ve dizinlerin setuid'lerini kontrol etmek icin
> > bir find komutu calistiriyor.
> > Ancak NFS serverda cok cok fazla adet dosya bulundugundan dolayi bu
> > islem sabah saat 08:30 civarina kadar suruyor.
> >
> > Bu durum disk uzerinde oldukca fazla read I/O'ya neden oluyor. Gecenin
> > o saatlerinde sistemde yük olmadigi icin durumun bu sekilde olmasi pek
> > problem degil. Ancak yakin bir zamanda, her gece calisarak, mesela 10
> > gunden eski maillerin silinmesine yonelik bir job calistiracagim.
> > Fakat setuid check icin yapilan find isleminin neden oldugu I/O, bu
> > silme islemini epey yavaslatacak.
> >
> > Dolayisi ile setuid check jobini, ilgili disk partisyonu icin devre
> > disi birakmak istiyorum.
> >
> > Bunu nasil yapabilirim ya da herhangi bir zarari olur mu?
> >
> > Cevaplayacak arkadaslara simdiden tesekkur ederim.
> >
> > Not: Ayni maili, FreeBSD Guvenlik listesine de gonderecegim, çift
> > mesaj icin kusuruma bakmayin.
> >
> > Çağrı Ersen.
>
> ---------------------------------------------------------------------
> Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine
> bakiniz.
>
> Cikmak icin, e-mail: [EMAIL PROTECTED]
> Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
> FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
>
>
>
