[ 2015/04/07 renewals ] ☆☆☆ かってに Linux6 (続き5) ☆☆☆
                        *** Freely Linux6. (it continues, 5) ***
     情報化社会の発展を図る活動として、
          ( 単にNPO協賛活動として )
                 無料で利用可能な、Linuxの普及の為、
★ Linuxで、インターネット等を、
    "MS-Windows" と同じ様に
          快適にする情報を無料提供。
410-0022 JAPAN by H.MATSUMOTO ( MACMIL.CO.JP (有)松商商会 ) 〒410-0022 マックミルズ 1F ( MACMIL.CO.JP MATSUSHOW CO.,LTD.)
当ページへの、多数のアクセスありがとう。 当ページは、多くの関連HPを参考に、Linux ( Fedora等) での利用や、 応用方法、開発等をし、結果・無料公開してます。 この場を借りて、各関連HP、各検索サイト、各開発者、多くの訪問者 等々へ Linuxの普及を願いつつ、感謝と、エールを送ります。 ・PC9801, DOS/V, Win9X, Win2000,WinXP, UNIX, Linux の各種ソフト作成、 メインは、C(言語)、現在は、Linux 30台位使用して、システム研究開発中。 27年近く(PC8001 〜 現在まで)、各種業務システム構築の現役者が提供。(松本英男) "マックミル" は、(有)松商商会 の登録商標です。( MACMIL.CO.JP )
●検索は、Ctrl +  F  で。( アルファベットは、半角文字で検索のこと )
* As for search,with Ctrl +  F .
*******<< ★ かってに Linux [ 開始 ] >>*******
Fedora 7 から、Fedora core7(FC7) でなく、Fedora 7(F-7) に名称変更
Fedora core4,5,6, Fedora 7,8 の、
ダウンロード、インストール、update の方法含む(構築)は、ここをクリック
Fedora 18 (F18, F-18)(FC18) Fedora 17 (F17, F-17)(FC17) Fedora 17 Preview (test3) Fedora 17 Beta (test2) Fedora 17 Alpha (test1) Fedora 16 (F16, F-16)(FC16) 2011/11/08 Fedora 15 (F15, F-15)(FC15) 2011/05/25 Fedora 14 (F14, F-14)(FC14) 2010/11/02 Fedora 13 (F13, F-13)(FC13) 2010/05/25 Fedora 12 (F12, F-12)(FC12) 2009/11/17 Fedora 11 (F11, F-11)(FC11) 2009/06/09 Fedora 10 (F10, F-10)(FC10) 2008/11/25 Fedora 9 (F9, F-9)(FC9) 2008/05/13 Fedora 8 (F8, F-8)(FC8) Fedora 7 (F7, F-7)(FC7) Fedora 7 test4 Fedora core6 (FC6)
Fedora core5, 6, Fedora 7, 8, 9 の検索で、
ここに来た場合は ( DVD.iso ダウンロード等)
"かってに Linux4" が、
Fedora core5, 6,
Fedora 7, 8, 9 の、インストール等の実践記録です。
Fedora core5,6, Fedora 7,8 の検索で、来た方は、
お手数ですが、ここをクリックして下さい。
Fedora 17 (F-17) リリース(release) スケジュール 2012/05/22 http://fedoraproject.org/wiki/Releases/17/Schedule
============================================================== *******<< ★ かってに SELinux [ 開始 ] >>*******
● SELinux( Security-Enhanced Linux ) に関して。
   ( Fedora core3, core4, core5 )
・Fedora core5 で、
  avc: denied の、エラーが、頻繁にでて、なんとかしたい場合は、
  下記、★ かってに Linux26 (続き25)へ
  ★ かってに SELinux その2 を参照のこと。
Enforcingモード:
	SELinuxの設定は有効

Permissive[寛容な]モード:
	SELinuxの設定は無効 (SELinuxの動作に関するログは出力される)
 ◆ Fedora core3, core4, core5 の場合は、
	・/home 以下に、HP を設置した場合、SELinux の関係で、
Forbidden
You don't have permission to access /???/???? on this server.
の、エラーがでる時は、 システム設定 --> セキュリティレベル --> SELinux [ 管理 --> セキュリティレベルと.... --> SELinux ] Transition Disable Selinux protection for httpd daemon に、チェックし、再立上げする。 ・SELinux を無効にして、インストールした場合、 その後、有効にすると、DNS(named)等が、働かなくなる時、
ファイルのラベルがきちんと付与されてないのが原因。

 ◆ SELinuxを有効にした後の初回起動時、
    ファイルのラベル付けなおしをし、再起動。(ここを、クリック)
を参照のこと。
 ◆ Fedora core4 では、
    Relabel on next reboot の、項目が増えたので、
    インストール後、SELinuxを、有効にするに、チェックした時は、
    Relabel on next reboot に、チェックし、
    再起動すること。
    その際、Enforcing の、チェックは、はずしておくこと。
    ( 同時に、チェックし、再起動すると、read error などで、
      二度と使用できなくなる時がある )
    ( 再起動後、 Enforcing に、チェックすること )
上記、relabel で、うまくいかない時、 システム設定 --> セキュリティレベル --> SELinux Transition Disable Selinux protection for named daemon ( named を使う時 ) Disable Selinux protection for ntpd daemon ( 時刻同期 を使う時 ) Disable Selinux protection for protmap daemon ( NFS を使う時 ) Disable Selinux protection for syslog daemon ( システムのログファイル )
 ◆ Fedora core4, Fedora core5 で、
    1) vftp が、ダメな時、SELinux の、
        ftpdデーモンの SELinux 保護を無効にする
        に、チェックし、再起動すること。
    2) http で、cgi が、使用できない時、SELinux の、
        httpdデーモンの SELinux 保護を無効にする
        に、チェックし、再起動すること。
    3) smb で、Windows から、書込みできない時、SELinux の、
        smbdデーモンの SELinux 保護を無効にする
        に、チェックし、再起動すること。
 ◆ Fedora core5 で、Adobe Acrobat Reader(PDF用)や、
			Flash Player が、動作しない。
4) 互換性 "テキストリロケーションを用いた共有ライブラリの使用を許可する" に チェックを付ける。
に、チェックし、再立上げする。
再立上げ後、

 ◆ SELinuxを有効にした後の初回起動時、
    ファイルのラベル付けなおしをし、再起動。(ここを、クリック)
( SELinux を有効にして、インストールした場合は、OK ) その他 ( Disable Selinux protection for nscd daemon ) ( ネームサービスキャッシュデーモン )
注) ユーザーの追加等できない時は、
ファイルのラベルがきちんと付与されてないのが原因。

 ◆ SELinuxを有効にした後の初回起動時、
    ファイルのラベル付けなおしをし、再起動。(ここを、クリック)
を参照のこと。
上記、relabel で、うまくいかない時、 一度、"SELinux が有効になりました" の、チェックを、はずし再立上し、 ユーザーの追加等の後、チェックし、再立上する。 その後、上記の設定をし直す。
		参考) コンソールからの、ユーザーの追加方法。
		$ su
		# /usr/sbin/useradd newuser
		# /usr/sbin/passwd newuser
		注) newuser は、追加したい、ユーザーにすること。
		★ かってに useradd ( ユーザー登録方法 ) を参照のこと。
 ◆ SELinuxを有効にした後の初回起動時、
    ファイルのラベル付けなおしをし、再起動。
    ( システム全体を、リラベル )
# /usr/bin/newrole -r sysadm_r [ Fedora core3, core4 は、system_r ) ( # /usr/bin/newrole -r system_r ) <パスワード入力> # /sbin/fixfiles relabel # reboot
ex. 再帰的に /home2 を、リラベル
# ls -alZ /home2
# /sbin/restorecon -v -R /home2
● SELinux( Security-Enhanced Linux ) 以下に、集めた情報を、バラバラだが、メモってみた。
● SELinux セキュリティレベル
TCSEC(Trusted Computer System Evaluation Criteria:通称、オレンジブック)の
B1レベル相当のセキュリティ機能をサポート。

通常のUNIX/Linuxが認証を受けた場合、
そのレベルはC1またはC2レベル。

B1レベルは商用利用で最も高度なセキュリティを確保。

B2,B3,A1は軍用や政府機密情報を扱うための最高レベル。

● SELinux 特徴
強制アクセス制御(Mandatory Access Control)、
プロセス毎のアクセス制御(Type Enforcement)、
ユーザ毎のアクセス制御(Role Based Access Control)
が挙げられます。


● SELinux コマンド
http://www.selinux.hitachi-sk.co.jp/selinux/selinux-commands.html

++++++++++++++++++++++
 ◆ SELinuxでは idコマンドが拡張されており、
現在ログインしている ロール(role)を知ることができます。

$ /usr/bin/id
uid=500(abc) gid=500(abc) 所属グループ=500(abc) context=user_u:system_r:unconfined_t

# /usr/bin/id
uid=0(root) gid=0(root) 所属グループ=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=root:system_r:unconfined_t
++++++++++++++++++++++
$ /bin/ps --context
でプロセスのラベルを見ることができ、
# /bin/ps -eZ

$ ls --context
でファイルのラベルを見ることができます。
-rw-rw-r--  abc      abc      user_u:object_r:file_t           aaa8
-rw-rw-r--  abc      abc                                       aaa9
++++++++++++++++++++++
 ◆ newrole - ロールの変更
現在ログインしているロールと別のロールになりたい時に使います。 使い方は、 newrole -r <ロール名> 管理をするため、sysadm_r ロールに切替。 # /usr/bin/newrole -r sysadm_r [ Fedora core3, core4 は、system_r ) ( # /usr/bin/newrole -r system_r ) ++++++++++++++++++++++
 ◆ run_init - デーモンの再起動
SELinuxでは、デーモンを再起動する場合、 run_init  <起動スクリプト> <起動スクリプトのオプション> 従来のコマンドの前に run_init を付けるだけ。 コマンド入力後rootユーザのパスワードの入力が求められ、 パスワードの入力が正しいとデーモンが起動します。 SELinux Policy Editor のデフォルト設定では、 sysadm_r ( system_r ) ロールを持ったユーザが run_init を使ってデーモンを起動できるようになっています。 例 # /usr/sbin/run_init /etc/rc.d/init.d/httpd restart ( # /sbin/service httpd restart ) ++++++++++++++++++++++
 ◆ spasswd、sadminpasswd - パスワードの変更
注) Fedora core3 では、見当たらないので、参考までに。 SELinux ではパスワードを変更する場合「passwdコマンド」ではなく、 spasswd、sadminpasswd コマンドを使います。 spasswd は現在ログインしているユーザのパスワードの変更に使い、 sadminpasswd は他人のパスワードを変更するのに使います。 spasswd, sadminpasswd ともコマンドをタイプすれば使い方は分かると思います。 ++++++++++++++++++++++ ◆ SELinuxは、内部的にはファイルをファイル名ではなく iノード番号で扱っています。 そのため、ファイルを消去し、 同じ名前のファイルを作った場合はiノード番号が変わってしまい、 そのファイルに施したアクセス制御設定が無効になります (正しくは親ディレクトリに対するアクセス権と同じになる)。 これは、多くの場合は問題ないのですが、 パスワードの変更時に問題になります。 passwd コマンドは shadow ファイルを 一度消してから再生成するからです。 これでは passwd コマンドを使ってパスワードを変更すると shadow ファイルに対する保護がなくなってしまいます。 この問題を解決するために、spasswdコマンドがあります。 このコマンドではファイルの再生成時に shadow ファイルに以前と同じセキュリティラベルを割り当てているのです。 ------------------------------------------------------- http://www.selinux.jp/ ● SELinuxの特徴 本格的な強制アクセス制御 (Mandatory Access Control, MAC) を 無償で利用可能 強制アクセス制御とは,プロセス,ファイル,ディレクトリ,ユーザ等の コンピュータ上のリソースにラベルを付け, そのラベルを用いて,プロセスやユーザ等の主体から, 他のプロセスやファイル,ディレクトリ,パイプ,ソケット, セマフォ,システムコール,デバイス等の オブジェクトへのアクセスを制限するアクセス制御モデルです. 対して,従来の UNIX や Linux, Windows などの オペレーティングシステムが備えている ユーザやグループ等のリソースオーナに基づくアクセス制御モデルを 任意アクセス制御 (Discretionary Access Control, DAC) と呼びます. ++++++++++++++++++++++
● Fedora core3, Fedora core4 インストール後に
   SELinux を有効にする。
http://www.selinux.gr.jp/documents/FC2selinux.html 参考 ◆ SELinux を有効にした後の初回起動時、 ファイルのラベル付けなおしをし、再起動。
$ su
# vi /etc/sysconfig/selinux
	# This file controls the state of SELinux on the system.
	# SELINUX= can take one of these three values:
	#	enforcing - SELinux security policy is enforced.
	#	permissive - SELinux prints warnings instead of enforcing.
	#	disabled - SELinux is fully disabled.
	SELINUX=Enforcing
	# SELINUXTYPE= type of policy in use. Possible values are:
	#	targeted - Only targeted network daemons are protected.
	#	strict - Full SELinux protection.
	SELINUXTYPE=targeted
# reboot
再立上た後、
$ su
# /usr/bin/newrole -r sysadm_r [ Fedora core3, core4 は、system_r )
( # /usr/bin/newrole -r system_r )
  <パスワード入力>
# /sbin/fixfiles relabel
# reboot
ex. 再帰的に /home2 を、リラベル
# ls -alZ /home2
# /sbin/restorecon -v -R /home2
++++++++++++++++++++++
 ◆ SELinuxを無効にするには。
# vi /etc/sysconfig/selinux ### SELINUX=Enforcing の部分を、下記に変更する。 SELINUX=Disabled # reboot 再起動。
参考) 2008/12/11 追加
 ◆  ファイアウォール止める。 ( Fedora 10 の場合 )
# /etc/rc.d/init.d/iptables stop
# chkconfig iptables off
# chkconfig ip6tables off
++++++++++++++++++++++
 ◆ SELinuxを有効にした後の初回起動時、
Xが起動しない、Xでログインできないなど 不具合が発生することがある。 ファイルのラベルがきちんと付与されてないのが原因。 Ctrl + Alt + F2 でテキストに切り替え root で ログイン 管理をするため、sysadm_r ロールに切替。 # /usr/bin/newrole -r sysadm_r [ Fedora core3, core4 は、system_r ) ( # /usr/bin/newrole -r system_r ) <パスワード入力> # /sbin/fixfiles relabel # reboot ++++++++++++++++++++++
 ◆ 管理
SELinuxのユーザには「ロール」という属性が付加 ロールは,getconコマンドで確かめることができる。 # /usr/bin/getcon root:staff_r:staff_t 中央の staff_r がロールである。 staff_r ロールでは、何も管理が行えないので注意。 管理をするため、sysadm_r ロールに切替。 # /usr/bin/newrole -r sysadm_r [ Fedora core3, core4 は、system_r ) ( # /usr/bin/newrole -r system_r ) sysadm_r( system_r) にすれば,普通のLinux同様に管理できる。 ++++++++++++++++++++++
 ◆ ps コマンドの「Z」オプションでドメインを確認できる。
「httpd_t」というのがApacheの権限である。 なお,sysadm_r( system_r ) ロールにならないと、 プロセス一覧を閲覧できない # /bin/ps -eZ user_u:system_r:unconfined_t 2699 ? 00:00:00 httpd
● Fedora 9 SELinux( Security-Enhanced Linux )
◆ SELinux の強化 guest_t は、setuid バイナリの実行、ネットワーク接続、 GUI の使用などを許可されません。 xguest_t は、Web ブラウザを介した HTTP 以外は ネットワークアクセスと setuid バイナリ使用が許可されません。 user_t は、オフィスユーザーに理想的です。 setuid アプリケーションを介した root への転身を阻止します。 staff_t は、sudo を介した root アクセスが 可能と言う点以外は、 user_t と同じです。 unconfined_t は、SELinux を使用していない場合と 同じように、 完全アクセスを提供します。
● Fedora 9 ディスク パーティション ラベル (LABEL) を、チェックする
例) $ /sbin/blkid /dev/sdb3: UUID="aba3bf6c-7aed-42b9-90ba-faec2e2bfafe" TYPE="ext2" /dev/sdb2: UUID="8d97d839-da0b-4a70-a93f-4c7b47cdfcff" TYPE="ext2" /dev/sdb1: UUID="fb4440c6-dfd4-44d7-b9d2-45d055100951" TYPE="ext2" /dev/sda5: LABEL="/home2" UUID="a729fcd4-d8b4-41ae-9118-3caaf98e5da6" SEC_TYPE="ext2" TYPE="ext3" /dev/sda3: TYPE="swap" LABEL="SWAP-sda3" /dev/sda2: LABEL="/" UUID="9c8d49b1-cf5e-4269-91a6-cd9156456751" SEC_TYPE="ext2" TYPE="ext3" /dev/sda1: LABEL="/boot" UUID="0be47ba8-021e-463c-8c9e-d4c4d44f8970" SEC_TYPE="ext2" TYPE="ext3" /dev/root: LABEL="/" UUID="9c8d49b1-cf5e-4269-91a6-cd9156456751" SEC_TYPE="ext2" TYPE="ext3" /dev/ramdisk: UUID="17574578-18fe-4c06-8c4d-cd2697b4917d" TYPE="ext2"
*******<< ★ かってに SELinux [ 終了 ] >>******* ============================================================== ============================================================== *******<< ★ かってに SELinux その2 [ 開始 ] >>*******
かってに Linux6 (Freely Linux6) の、続編です。

メインは、
★ かってに SELinux を参照のこと。
● SELinux( Security-Enhanced Linux )
   Fedora core5 の、/usr/bin/audit2allow  に関して。
   ( Fedora core5 の場合 )

 ◆ avc: denied の、エラーが、頻繁にでて、なんとかしたい。
Enforcingモード:
	SELinuxの設定は有効

Permissive[寛容な]モード:
	SELinuxの設定は無効 (SELinuxの動作に関するログは出力される)

http://intrajp.no-ip.com/pukiwiki/?FC5_FAQ を参考にしました。

Fedora core5 では、モジュール方式を採用

/usr/bin/checkmodule は、checkpolicy という rpm の一部。
checkpolicy がインストールされていること。

 ◆ Fedore core5, core6 インストール時に、通常では、
    インストールされないので、

    [ 注) 更新されている場合は、バージョンは異なる ]
    FC5 は checkpolicy-1.30.3-1.fc5.i386.rpm を、
    FC6 は checkpolicy-1.33.1-2.fc6.i386.rpm を
    インストールする。
	( 当方用メモ: /mnt7/mpg2/fc5/checkpolicy-1.30.3-1.fc5.i386.rpm
                      /mnt7/mpg2/fc6/checkpolicy-1.33.1-2.fc6.i386.rpm )

    FC5 は、下記、Fedora core5 updates から、
http://download.fedora.redhat.com/pub/fedora/linux/core/updates/5/i386/
    FC6 は、下記、Fedora core6 updates から、
http://ftp.riken.jp/Linux/fedora/core/updates/6/i386/
    ダウンロード可能。
    [ 注) 更新されている場合は、バージョンは異なる ]
    ( Fedora core? の、CD-ROM, DVD-ROM に、バージョンは異なるが、あるはず )

    ダウンロードした、ディレクトリーに移動し、
$ su
# rpm -Uvh checkpolicy-1.30.3-1.fc5.i386.rpm
当方用メモ
/usr/local/src/selinux/checkpolicy-1.30.3-1.fc5.i386.rpm
# cd /usr/local/src/selinux
# rpm -Uvh checkpolicy-1.30.3-1.fc5.i386.rpm
( # rpm -Uvh checkpolicy-1.33.1-2.fc6.i386.rpm )
$ su
# mkdir /usr/local/src/selinux
# chmod 777 /usr/local/src/selinux
# cd /usr/local/src/selinux
 ◆ SELinux を、
Enforcing:  SELinuxの設定は有効
から、
Permissive: SELinuxの設定は無効 (SELinuxの動作に関するログは出力される)
に、変更する。
# /usr/sbin/getenforce
	Enforcing

# /usr/sbin/setenforce 0
# /usr/sbin/getenforce
	Permissive
 ◆ 問題のでる、ソフトを実施する。
# vi /var/log/messages
audit(1149973415.186:731): avc:
denied  { write } for  pid=8908 comm="umount" name="mtab"
dev=hda2 ino=1177350
scontext=system_u:system_r:mount_t:s0
tcontext=root:object_r:etc_t:s0 tclass=file
allow <ドメイン> <タイプ>:<オブジェクト・クラス> <アクセス・ベクター>;
# /usr/bin/audit2allow -d
( # /usr/bin/audit2allow -d -l )
allow hald_t default_t:dir getattr;
allow hald_t file_t:dir getattr;
allow hald_t home_root_t:dir search;
allow mount_t etc_t:file write;
下記の、add-rule は、各自による。
たとえば、test とすると、test.te が、できるが、
その際、touch test.if test.fc とすること。
( 空の、test.if test.fc が、作成される )
( 下記の、abc:abc は、各自による [ 各自の、ユーザー名 ])
# cd /usr/local/src/selinux
# /usr/bin/audit2allow -M add-rule < /var/log/messages
# chown abc:abc add-rule.te
# exit

$ cd /usr/local/src/selinux
$ /bin/touch add-rule.if add-rule.fc
( add-rule は、各自による )

( 下記、make の前に、 checkpolicy-??????.rpm の、
  インストールが済んでいないと、
  /usr/bin/checkmodule が無いという、
  エラーになる )
$ make -f /usr/share/selinux/devel/Makefile
Compliling targeted add-rule module
/usr/bin/checkmodule:  loading policy configuration from tmp/add-rule.tmp
add-rule.te:2:ERROR 'syntax error' at token 'add-rule' on line 39720:
module add-rule 1.0;
#line 1 "add-rule.te"
/usr/bin/checkmodule:  error(s) encountered while parsing configuration
make: *** [tmp/add-rule.mod] エラー 1
そのままでは、上記エラーとなるので、

add-rule.te の、
module local 1.0; を、
policy_module(local, 1.0) に、
下記の様に、変更する。
$ vi add-rule.te
policy_module(local, 1.0)
# module local 1.0;

require {
	role object_r; 
	role system_r; 

	class dir { getattr search }; 
	class file write;

	type default_t; 
	type etc_t; 
	type file_t; 
	type hald_t; 
	type home_root_t; 
	type mount_t; 
 };


allow hald_t default_t:dir getattr;
allow hald_t file_t:dir getattr;
allow hald_t home_root_t:dir search;
allow mount_t etc_t:file write;
( 下記、make の前に、 checkpolicy-??????.rpm の、
  インストールが済んでいないと、
  /usr/bin/checkmodule が無いという、
  エラーになる )
$ make -f /usr/share/selinux/devel/Makefile
Compliling targeted add-rule module
/usr/bin/checkmodule:  loading policy configuration from tmp/add-rule.tmp
/usr/bin/checkmodule:  policy configuration loaded
/usr/bin/checkmodule:  writing binary representation (version 5) to tmp/add-rule.mod
Creating targeted add-rule.pp policy package
rm tmp/add-rule.mod tmp/add-rule.mod.fc
上記の結果、add-rule.pp が、できる。 ( add-rule は、各自による ) $ ls -l tmp/ -rw-rw-r-- 1 mac 2297610 6月 13 20:33 tmp/all_interfaces.conf -rw-rw-r-- 1 mac 713672 6月 13 20:33 tmp/add-rule.tmp -rw-rw-r-- 1 mac 46 6月 13 20:33 tmp/add-rule.mod.role ◆ semoduleをつかってモジュールをインストール $ su # /usr/sbin/semodule -i add-rule.pp
◆ 再立上げする。 # reboot ◆ 再立上げ後、まだ問題があるか確認。 # /usr/bin/audit2allow -d ( # /usr/bin/audit2allow -d -l )
/usr/bin/audit2allow: No AVC messages found.
 ◆ 上記、で、
    "No AVC messages found." でなく、
    メッセージがでる場合は、ずっと上の、 
    "問題のでる、ソフトを実施するに"、戻り、

    エラーが出なくなるまで繰り返し実施。
 ◆ 確認が、終了したなら、 enforcing を有効にする。
# /usr/sbin/setenforce 1
# /usr/sbin/getenforce
	Enforcing
● SELinux は、
   rootユーザー,sysadam_rロール で管理作業を行う
◆ 現在の、ユーザーの、ロール 等の確認。
$ /usr/bin/id -Z
user_u:system_r:unconfined_t

# /usr/bin/id -Z
root:system_r:unconfined_t:SystemLow-SystemHigh
◆ SELinux 現在のラベル ユーザー,ロール, タイプ
ls -alZ /home2
drwxrwxrwx  root     root     root:object_r:default_t          dai2
		rootユーザー,object_rロール, default_tタイプ
drwxrwxrwx  root     root     system_u:object_r:default_t      fc4
drwxrwxrwx  root     root     system_u:object_r:default_t      dvd
		system_uユーザー,object_rロール, default_tタイプ

-rwxrwxr-x  mac      mac      user_u:object_r:usr_t            aaa8
-rw-rw-r--  mac      mac      system_u:object_r:usr_t          uuu
● SELinux 当方メモ
Fedora JP BBS http://bbs.fedora.jp/forum.php?FID=9 public_html ディレクトリを、このラベルに付け変え $ chcon -R -t public_content_rw_t public_html 元に戻す場合は、 $ /sbin/restorecon -RF public_html +++++++++++++++ ブーリアン(boolean) をセット ftpでupload $ man ftpd_selinux $ su # /usr/sbin/setsebool -P allow_ftpd_anon_write=1 GUIの場合、SELinux --> その他 で □ allow_ftpd_anon_write 上記に、チェックをいれる。 sambaのupload $ man samba_selinux $ su # /usr/sbin/setsebool -P allow_smbd_anon_write=1 GUIの場合、SELinux --> その他 で □ allow_smbd_anon_write 上記に、チェックをいれる。 $ man httpd_selinx $ su # setsebool -P allow_httpd_anon_write=1 or # setsebool -P allow_httpd_sys_script_anon_write=1 GUIの場合、SELinux --> その他 で □ allow_httpd_anon_write □ allow_httpd_sys_script_anon_write 上記に、チェックをいれる。 ++++++++++++++++++++++++++++ 管理 --> セキュリティレベルとファイアーウォールの設定 SELinux その他 Fedora core5(FC5) default 下記に、チェックが、はいっている。 □ allow_gssd_read_tmp □ spamd_enable_home_dirs
*******<< ★ かってに SELinux その2 [ 終了 ] >>******* ============================================================== ============================================================== *******<< ★ ウィルスメールや、迷惑メール防止 [ 開始 ] >>******* ● ウィルスメールや、迷惑メール防止 ( sendmail 使用して、自前の、メールサーバー利用の場合 ) 受信を拒否したいアドレスやドメインを /etc/mail/access ファイルに指定。 REJECT --> 受信拒否。( @ から始まるものはドメインごと拒否 ) DISCARD --> メール破棄
$ su
# vi /etc/mail/access
# Check the /usr/share/doc/sendmail/README.cf file for a description
# of the format of this file. (search for access_db in that file)
# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc
# package.
#
# by default we allow relaying from localhost...
localhost.localdomain		RELAY
localhost			RELAY
127.0.0.1			RELAY
192.168.0			RELAY
#
# REJECT ( メール受信拒否 )
# username@test.com		REJECT
meiwaku@meiwaku.com		REJECT
@meiwaku2.com			REJECT

# DISCARD ( メール破棄 )
# test.com			DISCARD
meiwaku@meiwaku3.com		DISCARD
# /etc/rc.d/init.d/sendmail restart
*******<< ★ ウィルスメールや、迷惑メール防止 [ 終了 ] >>******* ============================================================== ============================================================== *******<< ★ かってに テキスト印刷 [ 開始 ] >>*******
● かってに テキスト印刷 は、
       引っ越ししました。 ここをクリックすると移動します。
*******<< ★ かってに テキスト印刷 [ 終了 ] >>******* ============================================================== ============================================================== *******<< ★ かってに NMP( wizd 利用の方法 ) [ 開始 ] >>*******
● wizd 利用の実際。( 使い方 )

NMP ( ネットワーク・メディア・プレイヤー )
● BUFFALO  Link Threrater PC-P2LAN/DVD  2004/06
DivX 5.2に正式対応 2004/07/22
	DivXR5、DivXR4、DivXR3、DivXRVODのビデオコンテンツ再生が可能

● PC-P2LAN/DVD  +  wizd0.12g ( Fodra core3 )
下記、wizd 0.12g を利用し、Feodra core3 で、快適に使用してます。
( wizd_0_12g.tar.gz は、問題があったので、
  追加項目を下記に、書いておく。)
[ 当方用メモ) PC-P2LAN 使用時は、wiz01.bat 必要 ]
● wizd

http://www.geocities.co.jp/SiliconValley-SanJose/3271/
wizd_0_12.tar.gz Ver  0.12  2003/12/21


http://www.uranus.dti.ne.jp/~kikuchan/wizd/
wizd_0_12g.tar.gz ( こちらを使用している )

注) wizd_0_12g では、 skin に、line_pseudo.html が、必要。
$ cd wizd_0_12g
$ cp -p skin/basicblue/line_pseudo.html skin/default/
$ cp -p skin/basicblue/line_pseudo.html skin/sample/


注) wizd_0_12g では、 make noutf8 に、
	source/wizd_cgi.c	\
	source/wizd_aviread.c	\ を、追加が、必要。
noutf8:
		source/wizd_base64.c	\
	source/wizd_cgi.c	\
	source/wizd_aviread.c	\
		source/wizd_detect.c	\
===================================================== $ gunzip -dc wizd_0_12g.tar.gz | tar xvf - ● コンパイル方法 パッケージをを展開したディレクトリで、 ◆ UTF-8対応版が必要な場合には、 $ cd wizd_0_12g $ cp -p skin/basicblue/line_pseudo.html skin/default/ $ cp -p skin/basicblue/line_pseudo.html skin/sample/ $ make clean $ make ◆ UTF-8対応版が必要ない場合には、 注) wizd_0_12g では、 make noutf8 に、
	source/wizd_cgi.c	\
	source/wizd_aviread.c	\ を、追加が、必要。
$ cd wizd_0_12g $ cp -p skin/basicblue/line_pseudo.html skin/default/ $ cp -p skin/basicblue/line_pseudo.html skin/sample/ $ vi makefile
noutf8:
		source/wizd_base64.c	\
	source/wizd_cgi.c	\
	source/wizd_aviread.c	\
		source/wizd_detect.c	\
$ make clean $ make noutf8 ● 実行方法 wizd.conf に、メディアファイル置き場を、設定。 ex. /mpg2/ に、メディアファイル置き場を、設定。 $ cp wizd.conf.sample wizd.conf ( wizd_0_12g の時のみ ) $ vi wizd.conf
	## メディアファイル置き場
	### MMM document_root           /
	document_root           /mpg2/
$ ./wizd ◆ nice を使用する時は、0 以下で、起動すること。( web 同時利用時、コマ落ち防止 ) ex. $ su # nice -n -1 ./wizd init起動させる場合には、wizd.conf を、 /etc/wizd.conf にコピーしておくこと。 ● 停止方法 wizd の、プロセスを、全て停止する。 $ /usr/bin/killall wizd ===================================================== http://tsuttayo.sytes.net/video/ ● 起動スクリプト wizd-init.tar.gzをダウンロード。 http://tsuttayo.sytes.net/video/play/wizd/wizd-init.tar.gz $ tar zxvf wizd-init.tar.gz $ vi wizd.init WIZDDIR=/usr/local/wizd を インストール場所に、あわせて変更 ex. /usr/local/src/に、インストールした場合。
### WIZDDIR=/usr/local/wizd
WIZDDIR=/usr/local/src/wizd
$ su # cp -p wizd.init /etc/init.d/wizd ( # cp -p wizd.init /etc/rc.d/init.d/wizd ) # chmod 755 /etc/init.d/wizd # /sbin/chkconfig wizd on サーバ起動時にwizd 自動起動 # /etc/rc.d/init.d/wizd start ( # /etc/rc.d/init.d/wizd restart ) ( # /etc/rc.d/init.d/wizd stop ) ===================================================== ● Link Threrater PC-P2LAN/DVD で、 skin_name basicblue を、撰択した場合、 ( $ vi wizd.conf にて、変更可能 ) 画面右下の、連続再生は、ファイルリストを、 最後まで移動すると、その次に、連続再生を、 撰択できる。 ( フォルダ表示の時は、連続再生の撰択不可 ) リモコン・キーにて、一発で、連続再生は該当無し。
*******<< ★ かってに NMP( wizd 利用の方法 ) [ 終了 ] >>******* ============================================================== ============================================================== *******<< ★ かってに qpopper [ 開始 ] >>*******
● qpopper ( メールサーバーの受信[クライアント]用 )
 [ Qpopper とは Berkeley "popper" を Qualcomm 社が拡張した POP3 サーバ ]
2012/02/08 現在) qpopper4.1.0.tar.gz を、Fedora 16 で、確認動作済み
 参考)
 ◆ コンパイル済みの qpopper の動作変更は、qpopper.conf で、可能。
    ( 上記へは、ここを、クリック )
 /var/spool/mail を /mnt2/var/spool/mail に、変更する例。
 ( /mnt2 は、別パーテーション等に、マウント(mount) してあること
               パーティション
   又、/mnt2/var/spool/mail は、/mnt2/mail 等、各自の好みによる )
++++++++++++++++++++++++++++++++++++++++++++++++++++ ・qpopper4.1.0.tar.gz ( dat/qpo410.gz ) は、下記から。 [ qpopper4.0.9.tar.gz ( dat/qpo409.gz ) ] [ qpopper4.0.8.tar.gz ( dat/qpo408.gz ) ] http://www.eudora.com/products/unsupported/qpopper/index.html qpopper4.1.0.tar.gz は下記から ftp://ftp.qualcomm.com/eudora/servers/unix/popper/
	[ Mirror Sites
	  Japan (Tokyo, Ibaraki, Iwate ..... )HTTP を、クリック
	  http://www.ring.gr.jp/archives/net/mail/qpopper/ ]
・qpopper ( 起動スクリプト ) は、下記から。 www.macmil.co.jp/macmil/macmil01.htm qpopper.hlp を、ダウンロードし、qpopper ( 起動スクリプト ) にリネーム。 ( 内容は、下記の、cat /usr/local/src/qpopper 参照 ) ++++++++++++++++++++++++++++++++++++++++++++++++++++ 上記ダウンロードしたものを、コピーする。
注) ◆ Fedora で、
   /etc/rc.d/init.d/xinetd が、インストールされない。
   したがって、xinetd を、ダウンロードして、
   インストールする。

 ◆ Fedora 7 で、
   /etc/rc.d/init.d/xinetd が、インストールされない。
2007/06/04現在、最新版は、xinetd-2.3.14-11.i386.rpm を、ダウンロードして、 # rpm -Uvh xinetd-2.3.14-11.i386.rpm インストールする。 ・見つからない時は、下記から。 www.macmil.co.jp/macmil/macmil01.htm xine1411.rpm を、ダウンロードし、xinetd-2.3.14-11.i386.rpm にリネーム。
 ◆ Fedora 16 で、
$ su
# yum -y install xineted
libgdbm.so.2 が必要
http://rpmfind.net/linux/rpm2html/search.php?query=libgdbm.so.2
	compat-gdbm-1.8.0-3.fc15.i686.rpm をダウンロード
$ su
# rpm -Uvh  compat-gdbm-1.8.0-3.fc15.i686.rpm
$ su
# cp qpopper4.1.0.tar.gz /usr/local/src/
# cp qpopper /usr/local/src/
	( server_args = -s は、popper 起動時 -s を付ける意味。)
# cat /usr/local/src/qpopper
	[ qopper ( 起動スクリプト ) ]
##
## /etc/xinetd.d/qpopper
##
# qpopper is a POP3 server.

service pop3
{
	disable	= no
	socket_type	= stream
	wait		= no
	user		= root
	server		= /usr/sbin/popper
	server_args	= -s
###	server_args     = -s -f /etc/mail/qpopper.conf
###	server_args     = -s -p 2 -f /etc/mail/qpopper.conf
}
参考) 当方用メモなので、無視すること
ここだけの説明では、構築できないので注意のこと。

# ●●● makessl9.bat, makessl9.bat
( Fedora 16 の、qpopper4.1.0/certs/* を、Fedora 7, FC5 に使用のこと )
  cp qpopper4.1.0/certs/* /etc/mail/certs )
当方専用メモ) linux001.htm, linux006.htm "qpopper POP over SSL"
www: 7.0.1: 255.255.0: 7.0.250  dns: 7.0.1(これ忘れると mail なかなか読めない)
110 → 995:通常 (POP over SSL) rm -rf dat2, rm *.zip, rm *.apk
# ●●● qpopper POP over SSL # 注) ▼ rtx 等、ルーターで、pop3sの 995 を通すこと # for Fedora 16 qpopper SSL(ssl)[ Secure Socket Layer ] # APOPを使っていた場合には # qpopauth -delete usernameで ユーザを消去しておく必要がある。 # SSL 又は APOPのような使い方は出来ない。 # ( 当方用メモ qpop-ssl.doc, makessl9.bat ) # ### ● サーバ用CA証明書と サーバ用証明書の Organization Name は、 ### 異なる名称にしないとうまく動作しないので注意 ### private_ca, private に、変えたら、うまくいった。 ### ### Thunderbird で、セキュリティ例外の追加 が表示された。 ### 接続の保護: SSL/TLS ### 認証方式: 通常のパスワード認証 ### ### 注) パスワードは、login と、同じものになる。 ( APOP は、別々で、可能 ) ### 注) ▼ パスワードは、POP と、SMTP で、異なるので、注意 #
● qpopper POP over SSL
2012/02/08 現在) qpopper4.1.0.tar.gz を、Fedora 16 で、確認動作済み
ここだけの説明では、構築できないので注意のこと。
下記は、あくまで、"/etc/xinetd.d/pop3" の、当方用。
##
## cp -p /usr/mac/qpopper.hlp.pop3s /etc/xinetd.d/pop3
##
## need # cp -p /usr/mac/qpopper.conf.ssl /etc/mail/pops3s.conf
## need # ln -s /usr/sbin/popper /usr/sbin/spopper
##
## /etc/xinetd.d/pop3s
## /usr/mac/qpopper.hlp.pop3s
## qpopper
##	/etc/xinetd.d/qpopper
##	/usr/mac/qpopper.conf.fed4
##
# default: off
# qpopper is a POP3 server. ( POP over SSL )
service pop3s
{
        disable = no
        socket_type     = stream
        wait            = no
        user            = root
### MMM        server          = /usr/sbin/popper
        server          = /usr/sbin/spopper
###     server_args     = -s
### MMM        server_args     = -s -f /etc/mail/qpopper.conf
# TSL、SSLを有効にする "-l 2"
        server_args     = -s -f /etc/mail/pops3s.conf -l 2
###     server_args     = -s -p 2 -f /etc/mail/qpopper.conf
}
/etc/xinetd.d/qpopper ( 起動スクリプト ) のオプションの説明
-s: 詳細なログを作成 -p 2: を付ければ APOP でも POP でもよくなる。 -f: /etc/mail/qpopper.conf を使用する -l 2: TSL、SSLを有効にする
+++++++++++++++++++++++++++
qpopper の、インストールの、開始。
2013/06/16 追加
CentOS で、APOP と、qpopper POP over SSL を有効の場合
下記を、実施しておくこと。
$ su
# yum -y install openssl*
# yum -y install openssl-devel*
# yum -y install gdbm*
# yum -y install gdbm-devel*
2012/02/03 追加) ftp://ftp.qualcomm.com/eudora/servers/unix/popper/ qpopper4.1.0.tar.gz [ Mirror Sites Japan (Tokyo, Ibaraki, Iwate ..... )HTTP を、クリック http://www.ring.gr.jp/archives/net/mail/qpopper/ ] $ cd /usr/local/src $ gunzip -dc qpopper4.1.0.tar.gz | tar xvf - $ cd qpopper4.1.0 ### APOP と、qpopper POP over SSL を有効に。 ### パスワードは、SSL 又は APOPのどちらかを、排他的に使用のこと。 $ ./configure --enable-apop=/etc/pop.auth --with-popuid=pop --enable-specialauth --enable-poppassd --enable-ksockinst --with-openssl [ --enable-apop /etc/pop.auth が、できる。( APOP 機能有効 ) ( APOP 使用しない場合でも、付けて、OK ) ( APOPを使用する場合は、ずっと下の方に 簡単な、例 有り ) ( Outlook Express 使用の場合は、APOP 使用不可 ) --enable-specialauth を付けないと、 shadow passwordを使用の場合、パスワード認証で失敗する --enable-shy ( 今回使用しない ) qpopperが認証の返事で、バージョンを付けない。 --enable-poppassd poppassd を利用する --with-openssl qpopper POP over SSL ] $ make $ cd popper $ su # /usr/sbin/useradd -d/dev/null -s/dev/null pop # install -s -m 4755 -o pop -g root popauth /usr/bin # install -s popper /usr/sbin # /usr/sbin/popper -v # popauth -init Really initialize POP authentication DB? y 注) もし、/etc/pop.auth が、できてなかったら、下記を実施のこと。 # touch /etc/pop.auth # chown pop:pop /etc/pop.auth # cp /usr/local/src/qpopper /etc/xinetd.d/ # /sbin/chkconfig qpopper on ( auto start ) # /bin/systemctl reload xinetd.service ( 古タイプの時、/etc/rc.d/init.d/xinetd reload ) ( 古タイプの時、/etc/rc.d/init.d/init restart )
### Fedora 15, Fedora 16 は、xinetd reload の替わりに、systemctl reload で実施
/bin/systemctl reload xinetd.service
## ● 上記は、うまくいかないので、サービスで、xinetd を起動のこと
# ( /lib/systemd/system/xinetd.service ) ( /usr/mac/xinetd.service )
とりあえず、これで、qpopper の、インストールは、終了。
あとは、各種設定(パスワード等、SSL等 )
参考) "Qpopper で SSL を利用する" 下記は、参考になります。
http://www.miloweb.net/qpopperssl.html
当方メモ)
 ● サーバ用CA証明書と サーバ用証明書の Organization Name は、
    異なる名称にしないとうまく動作しないので注意
    private_ca, private に、変えたら、うまくいった。
chmod 4??? target_file
4000  (u+s)  ファイル実行時にユーザーIDをセット (ファイルのみ)
	セット・ユーザーIDを付加する。
	他のユーザーが実行する際,所有者の権限で実行する
+++++++++++++++++++++++++++++
chmod u+s target_file
	セット・ユーザーIDを付加する。
	他のユーザーが実行する際,所有者の権限で実行する

使用例)
 * プログラムに root 特権 を、与える、一般ユーザーで、実行。
 * setuid root ( 実行ファイルのオーナーを root にし、 chmod 4755 test_io.cmd )
  ( suid root )
参考)
	chmod +s suid_command
	chmod u+s suid_command
	chmod g+s suid_command
	chmod ug+s suid_command
$ su # chown root:root test_io.cmd ( chmod 4755 の前に実施すること ) # chmod 4755 test_io.cmd
◆ APOP (エーポップ: Authenticated Post Office Protocol)
	電子メールの受信に使われるパスワードを暗号化する認証方法。
	APOP ではパスワードを暗号化して送受信するので安全性が向上。
	APOP は POP の認証をログインの認証とは別にし、安全性を高める。

	APOP を利用する場合には、
	Digest-MD5モジュールがインストール必要

・例) username ( 実際には、各自による ) の、ユーザーで、
      APOPを使用する場合、設定終了後、
$ su
# popauth -user username ( username は、実際のアカウントにすること )
	Adding only APOP password for username.
	New password:
	Retype new password:
# popauth -list ALL
例) abc ユーザーが、自分の、APOP password を変更する場合。
$ popauth
	Adding only APOP password for abc.
	New password:
	Retype new password:
いったん APOP 環境で運用すると、 APOP 非対応のメーラーから メールの受信ができなくなるので注意のこと。 APOP を使ってメールを受信するには、 クライアント側で、APOP 対応メーラーが必要。
 ◆ 参考) Mozilla Thunderbird 1.0.6 以降 で、qpopper の APOP 利用する。
   ・メール(Mozilla Thunderbird)の、調整(APOP)
     Mozilla Thunderbird 1.0.6 から、qpopper の APOP が、使用可能になった。
     ( 1.0.2 は、qpopper で、APOP が、ダメだった )
クライアント側で、 Outlook および Outlook Express 使用の場合は、 APOP による認証方式に対応してない。 ( メールの受信ができなくなる ) http://tokyoxjp.hp.infoseek.co.jp/001de.shtml ftp://ftp.delegate.org/pub/DeleGate/bin/windows/latest/ DeleGate ( Author: Yutaka Sato ) 8.9.5 2004/06/09
参考)
# strings /etc/pop.auth
注) install -s -m 4755 -o pop -g root popauth /usr/bin 以外で、
    install した場合、chmod 777 /etc/pop.auth が、必要になる場合ある。
# chmod 777 /etc/pop.auth # popauth -user username # popauth -list ALL # chmod 600 /etc/pop.auth # chmod 777 /etc/pop.auth # popauth -delete username # popauth -list ALL # chmod 600 /etc/pop.auth APOP を解除、通常の POP でログイン( root で実施 ) ------------------------------------------------------- * USER・PASS コマンドによってユーザ認証を行う。 * [ APOP user md5( Digest-MD5 ) コマンドによってユーザ認証 ] * LIST コマンドでメール一覧を受け取る。 * それから各メールについて、 o RETR コマンドでメールの内容を受け取り、 o DELE コマンドでメールをサーバから削除する。 * QUIT コマンドで通信終了
参考)
● poppassd
注) ここの、poppassd は、PAM認証に対応してないので、
    Fedora core4 等、PAM認証使用のものには、利用不可。
注) APOPを設定しているアカウントはこの機能を使って APOPパスワードを変更することはできない。 # vi /etc/services /etc/services に、以下の行を追加。 poppassd     106/tcp # vi /etc/xinetd.d/poppassd
##
## /etc/xinetd.d/poppassd
##	2005/08/13
##
# default: off
service poppassd
{
	disable		= no
	socket_type	= stream
	wait		= no
	user		= root
	server		= /usr/sbin/poppassd
	server_args	= -p -s
#	log_on_failure  += USERID
}
# chown root:root /etc/xinetd.d/poppassd # /sbin/chkconfig poppassd on # vi /etc/syslog.confの編集 ( /var/adm/poppassd-log にログがとられるようになる ) /etc/syslog.conf に、以下の行を追加する。 local2.err   /var/adm/poppassd-log # /etc/rc.d/init.d/xinetd restart
● poppassd の動作確認
注) ここの、poppassd は、PAM認証に対応してないので、
    Fedora core4 等、PAM認証使用のものには、利用不可。
注) APOPを設定しているアカウントはこの機能を使って APOPパスワードを変更することはできない。 $ telnet localhost poppassd ( $ telnet localhost 106 ) Trying... Connected to localhost. Escape character is '^]'. 200 ????? poppassd v4.1.0 hello, who are you? user ログイン名 ( ex. user abc ) 200 your password please. pass 現在のパスワード ( ex. pass 12abc ) 200 your new password please. newpass 新しいパスワード ( ex. newpass 34def ) ( パスワードが、間違っている時、500 Invalid user or password の表示 ) ( 400 Server busy -- try again later. [ Fedora core4 では、左記になる ] ) 200 Password changed, thank-you. quit 200 Bye. Connection closed by foreign host.
500 BAD PASSWORD: it is based on a dictionary word
パスワードが推察しやすい単語だと警告がでる。
対策)
8文字以上で、パスワードを変え、再試行する。
参考) poppassd ( PAM認証に対応 )
#!/bin/sh
#  .ps20
# popp-185.bat
# ver 1.0
# aug.15,2005
# aug.15,2005
# by H.MATSUMOTO ( macmil.co.jp )
#  .ps99

# for Linux
# chmod +x popp-185.bat

# need su

# http://www.samera.net/rpm/
#	poppassd-ceti-1.8.5-fc3.i386.rpm  30-Mar-2005 17:49   10K
#	poppassd-ceti-1.8.5-fc3.src.rpm   30-Mar-2005 17:49   12K


cd /usr/local/src/poppassd/
rpm -ivh poppassd-ceti-1.8.5-fc3.src.rpm
### cd /usr/src/redhat/SOURCES

cp -p /usr/src/redhat/SOURCES/poppassd-1.8.5.tar.gz .
cp -p /usr/src/redhat/SOURCES/poppassd-1.8.5.redhat.patch .
cp -p /usr/src/redhat/SOURCES/poppassd.pam .
cp -p /usr/src/redhat/SOURCES/poppassd.xinetd .

rm -f /usr/src/redhat/SOURCES/popp*
rm -f /usr/src/redhat/SPECS/poppassd-ceti-185.spec


gtar xvzf poppassd-1.8.5.tar.gz
patch -p1 -d poppassd-1.8.5 < poppassd-1.8.5.redhat.patch


cd /usr/local/src/poppassd/poppassd-1.8.5/
make

cp -p poppassd ../

cd /usr/local/src/poppassd/
### install -g bin -o root -m 500 poppassd /usr/sbin/
install -g bin -o root -m 4511 poppassd /usr/sbin/

cp -p /usr/local/src/poppassd/poppassd.pam /etc/pam.d/poppassd
chown root:root /etc/pam.d/poppassd

cp -p /usr/local/src/poppassd/poppassd.xinetd /etc/xinetd.d/poppassd
chown root:root /etc/xinetd.d/poppassd

ls -l /usr/sbin/poppassd

#++++++++++++++++++++++++++++++++++++++++++++++++++++++
# rpm -ivh poppassd-ceti-1.8.5-fc3.rpm
#	/etc/pam.d/poppassd
#	/etc/xinetd.d/poppassd
#	/usr/sbin/poppassd
#	/usr/share/doc/poppassd-ceti-1.8.5
#	/usr/share/doc/poppassd-ceti-1.8.5/README
#++++++++++++++++++++++++++++++++++++++++++++++++++++++


# end popp-185.bat
参考) poppassdとは
unix 用のパスワードを変更するデーモン 又は、プロトコルの名前

自分で造る場合。change01.c ( PAM認証使用 ) 等
C にて、cgi として、造る(作る)。
参考) PAM認証に対応 poppassd, usermod2 等で、
      poppassd_conv(num_msg, msg, resp, appdata_ptr)
      conv(num_msg, msg, resp, appdata_ptr)
が、うまくいかない時、 r[i].resp に、oldpass 又は、newpass が、 適切に、セットされない為。
int poppassd_conv(num_msg, msg, resp, appdata_ptr)
		if (msg[i]->msg_style == PAM_PROMPT_ECHO_OFF)
		{
/*
 * pam_chauthtok()
 *	(current) UNIX password:
 *	New UNIX password:
 *	Retype new UNIX password:
 *
 *
 * pam_authenticate()
 *	Password:
 */
/* by H.MATSUMOTO ( macmil.co.jp ) */
			r[i].resp = strdup("");

/* pam_chauthtok() */
			if (strncmp(msg[i]->msg, "(cu", 3) == 0)
				r[i].resp = strdup(oldpass);

			if (strncmp(msg[i]->msg, "New", 3) == 0)
				r[i].resp = strdup(newpass);

			if (strncmp(msg[i]->msg, "Ret", 3) == 0)
				r[i].resp = strdup(newpass);

/* pam_authenticate() */
			if (strncmp(msg[i]->msg, "Pas", 3) == 0)
				r[i].resp = strdup(Old_pass);

		} /* if */
*******<< ★ かってに qpopper [ 終り ] >>******* ============================================================== ============================================================== *******<< ★ かってに MD5 (ハッシュ) [ 開始 ] >>*******
MD5(Message Digest V5)
● ハッシュ ( 署名 [ finger print ] )
	ハッシュは「一方向ハッシュ」とも呼びます。
	入力データからハッシュ値は生成できるけど、
	その逆のハッシュ値から入力データを復元できないということ

	md5 の出力は 16進数 32桁 = 128bit

$ /usr/bin/md5sum filename
$ /usr/bin/openssl md5 filename
+++++++++++++++++++++++++++++++++++++++++++++++
CRAM-MD5 や Digest-MD5 のダイジェスト化アルゴリズム

( DIGEST-MD5 は CRAM-MD5 の拡張版 )

注) MD5  ( openssl で計算 と、perl で計算 で、異なる。)
Fedora で、計算
$ echo aaaa | /usr/bin/md5sum
	e5828c564f71fea3a12dde8bd5d27063  -
$ echo aaaa | openssl dgst -md5
$ echo aaaa | openssl md5
	e5828c564f71fea3a12dde8bd5d27063

perl ( Digest-MD5 ) で、aaaa 計算
	74b87337454200d4d33f80c4663dc5e5
 ◆ /usr/bin/openssl dgst

形式
  openssl dgst [-md5|-md4|-md2|-sha]
機能
  メッセージダイジェストの計算
オプション
  -md5|-md4|-md2|-sha
    ダイジェスト関数を選択する
例
  MD5を使って、ランダムの元データを作成する
    openssl dgst * > rand.dat


$ echo aaaa | openssl md5
e5828c564f71fea3a12dde8bd5d27063

$ echo aaaa | openssl md4
41e92e461df337e77d5f8e19f93f176c

$ echo aaaa | openssl md2
5c0310ef9d62c48c1eecfef9c67d17da

$ echo aaaa | openssl sha
43fcd71251aad49ecaf7d9b1395bb551f9f52c37
*******<< ★ かってに MD5 (ハッシュ) [ 終り ] >>******* ============================================================== ============================================================== *******<< ★ かってに useradd ( ユーザー登録方法 ) [ 開始 ] >>*******
● ユーザー( useradd )、パスワード( passwd ) ファイル 登録方法
   ( ユーザーの追加方法 )
 ◆ useradd で、用いる、-p passwd の、オプションを使用する際は、
    通常の、文字列ではなく、MD5 によって作成されたものを指定する事。
      -p 123456 ではなく、-p $1$xxxxxxxx$??????????????????????

    ( $1$xxxxxxxx$??????????????????????
      crypt 関数は 3 + 8 文字の合計 11 文字で構成すれば、
      DES ではなく MD5 を使った暗号化アルゴリズムが用いられ、
      出力は最大 34 バイトとなる。)
    ( ここでの、頭の $1$ は MD5 ハッシュであることの印 )
# /etc/pam.d/system-auth
     password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 
上記の、md5 を消せば DES 方式になる。
★ かってに MD5 (ハッシュ) を参照のこと。
perl の、crypt() で、DES 又は、MD5 の計算。( 詳細は、$ man crypt )

$ vi userpass.pl
#!/usr/bin/perl
print crypt($ARGV[0], $ARGV[1]);
$ chmod +x userpass.pl $ ./userpass.pl pass_data salt ( salt は 3($1$) + 8 文字の合計 11 文字で構成すれば、 DES ではなく MD5 を使った暗号化アルゴリズムが用いられる )
+++++++++++++++++++++++++++ $ man crypt GNU 拡張 こ の関数の glibc2 版は以下のような拡張機能がある。もし salt の文字列の 最初の 3 文字が "$1$" であり、最大 8 文字の後、最後に "$" で終わって い る( これはなくてもよい)場合、 DES ではなく MD5 を使った暗号化アルゴリズ ムが用いられ、出力は最大 34 バイトとなる。出力は "$1$$" の形 式 で あり、 "" は salt における "$1$" に引き続く 8 文字以下の文字 列、その後ろに [a-zA-Z0-9./] の集合から選ばれる 22 バイトである。この場 合、(最初の 8 文字ではなく)キー全体が意味がある。 この関数を利用するプログラムは -lcrypt オプションをつけてリンクしなけれ ばならない。 ( MD5:program.station.ez-net.jp/special/system/linux/adduser.asp encrypted = crypt ( unencrypted, correct ); --> crypt.h )
◆ 一括登録は、例えば、useradd2.bat 等の、バッチファイルと、 ( useradd -u $uid -g $gid -c "$comm" -d $dir2 -s $shel2 -m $usr2 等、各自好みで作成 ) useradd2.dat 等の、登録データ・ファイルを用い、
$ su
# useradd2.bat < useradd2.dat
で、当方では、使用している。 実施後、いくつか抜粋して パスワードのチェックを実施
注) くれぐれも、passwd の、データ・ファイルを作成した場合、
    # chmod 600 ????? 等、セキュリティー ( security ) や、
    取り扱いには、注意のこと。
+++++++++++++++++++++++++++ ◆ ユーザーの登録の確認 # /usr/bin/id username -------------------------------------------------------
● ユーザー ( /usr/sbin/useradd ) 登録方法 ( ユーザーの追加方法 )
追加したいユーザー名を、3文字から 31文字の間で指定 全て、半角英数字で入力。[ 全角文字(漢字)は使用不可 ] パスワード ( /etc/passwd ) になる文字列は、 ユーザー名と、パスワードが同じ場合や、 パスワードが、6文字未満の場合 注意メッセージが表示されることもある。
New UNIX password:
BAD PASSWORD: is too similar to the old one
    現在のパスワードに似ている時、変更できない。(別のパスワードにして下さい)
BAD PASSWORD: it does not contain enough DIFFERENT characters
    同じ文字の連続の時等、変更できない。(別のパスワードにして下さい)
BAD PASSWORD: it is too simplistic/systematic
    単純な文字の組合せの時等、変更できない。(別のパスワードにして下さい)
● メールユーザーのみの ( /usr/sbin/useradd ) 登録方法
( ユーザー 登録で、登録されているユーザーは そのままで、メール・アカウントの使用が出来る ) メール・アカウントの発行 メールユーザーのみを登録する場合、 [システム設定] --> [ユーザーとグループ] --> [ユーザーの追加]   追加の ログインシェル             /snin/nologin       ホームディレクトリの作成        /dev/null       ユーザー用にプライベートグループを作成 チェックをはずす       ユーザーIDを手動で設定        チェックをはずす   以上でメールアカウントだけの登録となる。( login 不可 )
● アカウント (account)
 コンピュータやネットワーク上の資源を利用できる権利、 又は、利用する際に必要な ID。 PPPアカウントや、メールアカウント等がある。
*******<< ★ かってに useradd ( ユーザー登録方法 ) [ 終了 ] >>******* ==============================================================

★ かってに Linux2 (続き1)へ * Freely Linux2. (it continues, 1) to


★ かってに Linux3 (続き2)へ * Freely Linux3. (it continues, 2) to


★ かってに Linux4 (続き3)へ * Freely Linux4. (it continues, 3) to


★ かってに Linux5 (続き4)へ * Freely Linux5. (it continues, 4) to


★ かってに Linux7 (続き6)へ * Freely Linux7. (it continues, 6) to


★ かってに Linux8 (続き7)へ * Freely Linux8. (it continues, 7) to


★ かってに Linux9 (続き8)へ * Freely Linux9. (it continues, 8) to


★ かってに Linux10 (続き9)へ * Freely Linux10. (it continues, 9) to


★ かってに Linux11 (続き10)へ * Freely Linux11. (it continues, 10) to


★ かってに Linux12 (続き11)へ * Freely Linux12. (it continues, 11) to


★ かってに Linux13 (続き12)へ * Freely Linux13. (it continues, 12) to


★ かってに Linux14 (続き13)へ * Freely Linux14. (it continues, 13) to


★ かってに Linux15 (続き14)へ * Freely Linux15. (it continues, 14) to


★ かってに Linux16 (続き15)へ * Freely Linux16. (it continues, 15) to


★ かってに Linux17 (続き16)へ * Freely Linux17. (it continues, 16) to


★ かってに Linux18 (続き17)へ * Freely Linux18. (it continues, 17) to


★ かってに Linux19 (続き18)へ * Freely Linux19. (it continues, 18) to


★ かってに Linux20 (続き19)へ * Freely Linux20. (it continues, 19) to


★ かってに Linux21 (続き20)へ * Freely Linux21. (it continues, 20) to


★ かってに Linux22 (続き21)へ * Freely Linux22. (it continues, 21) to


★ かってに Linux23 (続き22)へ * Freely Linux23. (it continues, 22) to


★ かってに Linux24 (続き23)へ * Freely Linux24. (it continues, 23) to


★ かってに Linux25 (続き24)へ * Freely Linux25. (it continues, 24) to


★ かってに Linux26 (続き25)へ * Freely Linux26. (it continues, 25) to


★ かってに Linux27 (続き26)へ * Freely Linux27. (it continues, 26) to


★ かってに Linux28 (続き27)へ * Freely Linux28. (it continues, 27) to


★ かってに Linux29 (続き28)へ * Freely Linux29. (it continues, 28) to


★ かってに Linux30 (続き29)へ * Freely Linux30. (it continues, 29) to


★ かってに Linux31 (続き30)へ * Freely Linux31. (it continues, 30) to


★ かってに Linux32 (続き31)へ * Freely Linux32. (it continues, 31) to


★ かってに Linux33 (続き32)へ * Freely Linux33. (it continues, 32) to


★ かってに Linux34 (続き33)へ * Freely Linux34. (it continues, 33) to


★ かってに Linux35 (続き34)へ * Freely Linux35. (it continues, 34) to


★ かってに Linux36 (続き35)へ * Freely Linux36. (it continues, 35) to


★ かってに Linux37 (続き36)へ * Freely Linux37. (it continues, 36) to


★ かってに Linux38 (続き37)へ * Freely Linux38. (it continues, 37) to


★ かってに Linux39 (続き38)へ * Freely Linux39. (it continues, 38) to


★ かってに Linux40 (続き39)へ * Freely Linux40. (it continues, 39) to


★ かってに Linux41 (続き40)へ * Freely Linux41. (it continues, 40) to


★ かってに Linux42 (続き41)へ * Freely Linux42. (it continues, 41) to


★ かってに Linux43 (続き42)へ * Freely Linux43. (it continues, 42) to


★ かってに Linux44 (続き43)へ * Freely Linux44. (it continues, 43) to


★ かってに Linux45 (続き44)へ * Freely Linux45. (it continues, 44) to


かってに Linuxヘ、戻る * Freely Linux. ( it returns )




● 本サイトに掲載されている情報は個人の責任において、
   使用のこと。
   利用により、問題が発生しても、
   当方は一切責任を負いかねます。 
   リンクは、自由に。

   The information carried by this site is set
   with individual responsibility. Use it.
   Even if a problem occurs by use We cannot take any responsibility.
   A link is free.

410-0022 JAPAN  by H.MATSUMOTO ( MACMIL.CO.JP  有限会社 松商商会 )
410-0022 JAPAN  by H.MATSUMOTO ( MACMIL.CO.JP  MATSUSHOW CO.,LTD.)
(C) 1998-2015 H.MATSUMOTO All Rights Reserved ( MACMIL.CO.JP )
新会社法施行(2006/05/01施行)後、有限会社 松商商会 は、
特例有限会社という、新会社法の、株式会社です。(商号は、有限会社 を継続)
資本金 2017/05 5千万円→1千万円に減資 創業 1983/05/20 法人設立 1984/09/29
★ ソフトダウンロードへ

topヘ、戻る