スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

atdとportmapの自動起動を止めさせる

次回とか言いながら三回ほど別のネタをはさみました。不要なサービス停止の話の続きを書きます。atdとportmapを停止してしまおうと書きましたが…

単なる停止ならば

# ps -ef | grep daemon

とやってプロセス番号を確認して

# kill 確認した番号

で良いんですが、これだけだと再起動したときに平然と自動起動してしまうわけで。取りあえず二度と自動起動させない方法を考えなきゃ。



これらのデーモンが何というパッケージで提供されているかを確認する。それを見つけて削除してしまえば、自動起動なんかあり得ないわけで。

$ apt-cache search portmap

すると、この様な返りが。

portmap - RPC port mapper

つーわけで、portmapはこのパッケージを消してしまえば良さそうですね。

# apt-get remove portmap

これでportmap daemonは止まってくれる。

では続いて、atdを。

$ apt-cache search atd

三文字しかないので、たまたま部分一致したパッケージがずらずらと並ぶが…

肝心のatdがどのパッケージから提供されているのか分からない、完全一致がないのだ。



さーて困った。しかし、別に削除にこだわらなくても良いんですよ、自動起動さえ止められれば。さらにググる…ありました。

[Debian] 不要なサービスの自動起動を停止 - 虚ろなるパソコン技術日誌

このページによると…

UNIXはランレベルという概念をもって動作の形態を分けているらしい(Debianの場合ランレベル0で停止、1でシングルユーザーモード、6で再起動、2~5で通常動作。他のUNIXの場合は2~5それぞれに意味を持たせている場合が多いらしい)のですが、そのランレベルごとに起動させるサービス等が/etc/rc*.d/以下に記述されているらしく。

Debianの場合は通常ランレベル2で動くので、/etc/rc2.d/の中を覗いてみると。

$ cd /etc/rc2.d/
$ ls -F

いたいた。

README S20hyperestraier@ S24hal@
S05loadcpufreq@ S20kerneloops@ S26network-manager@
S10rsyslog@ S20nfs-common@ S26network-manager-dispatcher@
S12acpid@ S20nvidia-glx@ S30gdm@
S12dbus@ S20nvidia-kernel@ S30system-tools-backends@
S14avahi-daemon@ S20openbsd-inetd@ S50ntp@
S19cpufrequtils@ S20policycoreutils@ S89anacron@
S20atd@ S20smartmontools@ S89cron@
S20clamav-freshclam@ S20transmission-daemon@ S99rc.local@
S20cups@ S21fam@ S99rmnologin@
S20exim4@ S24dhcdbd@ S99stop-bootlogd@

で、こいつを取り除く専門のコマンドがあるらしい。

# update-rc.d -f atd remove

すると…

Removing any system startup links for /etc/init.d/atd ...
/etc/rc0.d/K20atd
/etc/rc1.d/K20atd
/etc/rc2.d/S20atd
/etc/rc3.d/S20atd
/etc/rc4.d/S20atd
/etc/rc5.d/S20atd
/etc/rc6.d/K20atd

この様な返りが。おお、全てのランレベルから一気にatdを取り除いてくれたのだろうか?

もう一度ls -Fコマンドをしてもatdは消えている。他のランレベルのディレクトリを覗いてみてもatdは無くなっている。

なるほど、素晴らしい。しかし、この前のようにこれをやったからシャットダウンや再起動ができなくなるなんてことはあるまいな?再起動してみる。

問題なく起動する。

# ps -ef | grep atd

よし、atdサービスは動いていないぞ!



ところで、今回俺を悩ませたatdを提供しているパッケージは、たぶんこのatですね。しかし、今回ランレベルというものの仕組みに足を踏み入れられたのは良い勉強になりました。次回、これをちょっと応用してみます。

スポンサーサイト

テーマ : UNIX/Linux
ジャンル : コンピュータ

Linux対応Silverlight、「Moonlight」リリース

せっかくニュースネタやったから、もうひとつお付き合いください。

Linux版Silverlight「Moonlight」、正式リリース - ITmedia エンタープライズ
米Novell、Silverlight初のオープンソース実装「Moonlight 1.0」

ウェブ上で実行できるアプリケーションだとか、クロスプラットフォームだとか、そういった需要が増えつつあり、近い将来オンラインのアプリケーションが今までのローカルなアプリケーションを追い抜くのではという予測もあったりして。まあ俺はその辺はよう分からんのですが、とにかくネット上・ブラウザ上からクロスプラットフォームで使えるアプリケーション実行環境で一番有名なのはjavaか。FlashとかJavascriptもそうですね。

その状況をマイクロソフトが指をくわえて見ているだけというわけがない。負けじと.NET Frameworkというアプリケーション実行/開発環境を開発しているんですな。

で、このうちメディアプレーヤーとしてsilverlightというものがあります。なんでもwmv特有のDRM(また出たよ)に対応できるそうで、Gyaoを運営しているUSENが「これでMacにも配信できるぞ」と息巻いていましたね。「GyaOがやっと、Macで見られます」――MS「Silverlight」対応で - ITmedia News



そのsilverlightのオープンソース版で、Linuxでも使えるというMoonlightというプレイヤー。噂に聞いてはいましたが、1.0が公開されたということで、では使ってみようじゃないかと。

インストールしてみました。どうやらFirefoxのアドオンとして動くらしく、FirefoxでMoonlight Downloadsにアクセスして指示にしたがってインストールすれば終わりです。

ではお手並み拝見…てインストールして気づいたけれど、例えばFlashやJavaやJavascriptを切ってウェブを徘徊していると、「これらを有効にしろ、さもなきゃ正しく表示されませんよ」と警告をくらうことは多いですけれど、このsilverlightを有効にしてくださいと警告くらったことはそういえばほとんどないような…

USENが息巻いていたと書きましたが、そのGyaoがMac向けの手始めというGAGA USENの映画予告編紹介ページ、404になっているし。しかもさっきの記事よく見ると「Flashと同じぐらい普及すればGyaOでも全面対応したい」…永遠に無理じゃないか?実際にsilverlight対応コンテンツは検索しても全然出てこない。マイクロソフトのサンプルくらい。

これは…メモリースティック、ベータマックス、独自フォーンプラグ、UMD等、業界標準を無視し続ける某電機メーカーと同じ匂いがする…。



ただ、よく調べてみるとGyaoのニュース映像配信はsilverlightで行われていることは分かりました。GyaOニュース - 速報など。これはMoonlightで再生できた

Linuxでできることが増えるのはめでたいことだ、だけど…うれしくはないよなー。だって、この程度の映像配信、五年くらい前からあるぜ?Youtubeの大ヒットが三年くらい前だったけれど、それ以前からMPEG1なんかでの映像配信はあったんだ。それらは当然のごとくLinuxに対応しちゃっているわけで。


追記

GAGA USENの映画予告編映像配信は、現在こちらから見られます。

ギャガ・コミュニケーションズ(GAGA Communications, Inc.)

うん、見ての通りFlashですね。どうやら心が折れたらしい。

テーマ : ソフトウェア
ジャンル : コンピュータ

Debian lennyリリースへ

Debian lennyが間もなくリリースされるという報道がありました。

Debian Report:バレンタインにDebianを――2月14日、Debian 5.0リリースへ - ITmedia エンタープライズ

開発者の皆さん、これで仕事が終わったわけではないでしょうが、とりあえずお疲れさまでした。これからもよろしくお願いします。

しかし、これからsidもlenny/sidではなくてsqueeze/sidとなる、形式上はなくとも実質的なアップグレードがあるわけで…ここから依存関係崩壊の嵐か。まあ、それもきっと楽しいだろう。ネタになるし。

テーマ : UNIX/Linux
ジャンル : コンピュータ

不要なサービスを停止する

前回、portmap daemonが俺の設定間違いを教えてくれたのですが…

しかし、portmap daemonって何だ?

デーモンの言葉の意義くらいは知っていますよ。OSサービスのうちバックグラウンドで動作するプログラムで、概念としてはサーバプログラムに近いんだよね?例えば、存在しないメールアドレスにメールを送ると、たどり着いたメールサーバの「Mailer Daemon」から「何言うてまんねん、そんなアドレスありまへんで」といったメールが返ってくるけれど、あれもそのひとつだよね。

しかし、俺は別にサーバを動かしているわけじゃないし、portmap daemonに特別仕事を頼んだ覚えもない。UNIXセキュリティの基本として、不要なサービスは止めてしまおうというものもある(必要ないならば起動しているだけで僅かとはいえリソースの無駄だし、セキュリティホールが存在している可能性もあるわけで…分かりやすく言うなら、ファイル共有する気がないのにWinny起動するかって話)ので、もし問題がなければ止めてしまおうかなって。



で、まずはうちのパソコンで走っているらしきデーモンを確認。

# ps -ef | grep daemon

すると、実行権限がrootでもユーザーでもなく、daemonというものが二つ見つかる。

daemon 3196 1 0 00:00 ? 00:00:00 /usr/sbin/atd
daemon 3888 1 0 00:00 ? 00:00:00 /sbin/portmap

下のportmapというっていうのはきっとさっきのアレだ。しかし、atdってのはこれまたなんぞや?



ググってみたところ…

余計なサービスを止める - 0からはじめるLinuxセキュリティ入門

以前にもお世話になったサイトさんですが。ここにはportmapは止めても構わないもの、atdはatコマンドを使わないならば…とある。atコマンドなんて久々に聞いたよ、モデムの操作なんかに使うやつだよね。これは…atコマンドでこのコンピュータを操作するとか、操作をネットワーク上から受けるなんて話だろうか。そんなことをした覚えはないし、内部的に行われているとか?さらにググってみると、

Kozupon.com - 不要なデーモンの停止とシステムのセキュアー化!

というページを発見。ここによるとatdは、

>指定された時刻にジョブを実行するデーモン。これに関する設
>定には、atコマンドを使う。cronとの違いは、atdの場合はワン
>ショットなのでスケジューリング出来ない。

あのatコマンドとはどうやら違うもののようだ。もうちょっと調べてみると、wikipediaに記事が。

at (UNIX) - Wikipedia

要はコマンド実行の予約みたいなもんか?

うーん、うちはデスクトップだから俺のいないときに仕事をしてもらうなんてことはほとんどないし、スケジューリングができないということは、システムがコマンド実行の予約をしたがっている場合はきっとそのスケジューリングによる定期実行ができるというcronを使うのだろうし、自分でそういった何かをさせたいと思うことがあってもcronを使うだろうなー。

一応何か既に予約されていないか確認してみる。UNIXコマンド [at]さんを参考に…

# at -l
# exit
$ at -l

何も表示されない。たぶん何もないってことだろう。停止。



portmapの説明は、

>NISやNFSで使われるRPCによる接続を管理するデーモン。こ
>れらを使わなければ必要なし。

NIS?NFS?RPC?

ネットワーク・インフォメーション・サービス - Wikipedia
Network File System - Wikipedia
RPC - Wikipedia

…良く分からんけれど、一切ネットワーク越しに何かをやろうとしていない俺には必要ないものだ、と思う。



というわけで、こいつらはいらないと判断。もしこれで調子悪くなったら、その時考えればいいや。/homeをパーティションとして分割していると気が大きくなるね。

長くなったので、実際の停止作業は次回に。続く

テーマ : UNIX/Linux
ジャンル : コンピュータ

iptablesの設定を試行錯誤

iptablesの設定で、俺は悩んでいました。

だって、ネット上に多々ある設定例って、どれもサーバーかルーターとして動作させる場合について書いているようで…iptablesの設定…のつもり。という記事で一応の設定はしてはいましたが、これが俺にとって適切だとは限らないわけで。

で、思ったんです。俺は難しく考えすぎなのではと。

# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

上のコマンドで許可される入力パケットは、応答に関するものであるようですが。外部との接続はウェブ閲覧・メール送受信など完全にクライアント用途に限っていて、外部へのサーバープログラムを動かしていない以上、これだけ許可をしてしまえば問題なく使えてしまうのではと。



というわけで実践。

# iptables -F

ルールをクリアして、

# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT

これでこちらからのパケット送信は可能だが、パケット受信が不可能な状態となったはず。ウェブブラウザを起動して読み込みが一切できなくなっていることを確認する。

で、応答パケットの受信許可を。

# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

これでウェブブラウザを起動してみる。問題なく読み込んでくれる。
自分宛にメールを送信してみる。送信はできたみたいだ。
メール受信をしてみる。さっき送ったメールが届く。

# apt-get update ; apt-get dist-upgrade -d

iceweasel3.0.6とその周辺パッケージが落ちてくる。

うわー何の問題もないじゃん。今までブログで間違った知識を流布していたんだ俺は。

# iptables-save > /etc/iptables.up.rules
# iptables-save > /etc/iptables.down.rules

このコマンドで今日の変更を保存して…



というわけで今日は良い勉強になりました、シャットダウンしましょ…

シャットダウンできない。portmap daemonなるものが正常に終了しないようだ。うーん、sidを使っているからまたバグのあるパッケージを掴まされたか?あれ?でも、さっきのアップグレードではこれに関連する更新はなかったぞ?一番最近システムの設定をいじったのは…

俺じゃん!

いつまで待ってもそこから進まない、応答を待っているんだろうか?もし俺がいじったシステム設定がいけないならば、その応答は永遠にこないことになる。仕方がないからリセットキーを押して再起動。設定やり直さなきゃ…

起動が途中で止まってしまう。画面の表示を見てみると、iptablesが起動して、portmap daemonが動き出したと思われるところで固まっている。しかも、リセットしてシングルユーザーモードで起動してもログインするところまで行かない。

俺、焦る。



あ、そういえばKnoppixがあるじゃないか!アレで起動して、ハードディスクをマウントして、設定ファイルを書き換えてやれば良いんだ。

knoppixのディスクを挿入してリセット。起動したらコンソールを立ち上げて、

$ su
# mount /dev/hdb1 /media/hdb1
# vi /media/hdb1/etc/iptables.up.rules

で、

# Generated by iptables-save v1.4.2 on (省略)
*filter
:INPUT DROP [25:1124]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1623:195825]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on (省略)

の、三行目のDROPをACCEPTに書き換え、六行目を削除し保存。

/media/hdb1/etc/iptables.down.rulesも同様に処理。



で、再起動。問題なく立ち上がる。つまり、さっきの設定がいけないということでした。

では、何が問題だったのか。今まで/etc/iptables.up.rulesと/etc/iptables.down.rulesに書いて許可していたのは、

-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

これだけ。だから、上三行をのどれかもしくは複数を削除したから問題が起きたのだ。

この中では、二行目がクサいかな…。最初にiptablesの設定をしたときに参考にしたページiptables・設定・ファイアウォール・セキュリティさんによると、自端末からの入力ってことだそうだが、確かにこれを取り消したらportmap daemonなるものの動きに影響が出そうな気もする。

しかし、これを許可すると、iptablesの設定ルールの表示コマンドiptables -Lを入力したときの返しが

target prot opt source destination
ACCEPT all -- anywhere anywhere

この様に、何もかもを許可しているように見えるんだよね…これ、大丈夫なのかしら。



まあ、でも試行錯誤だ。やってみて、これで全ての通信が許可されるなんていうバカな事態が生じたら他の方法を考えれば良い。

# iptables -F
# iptables -P INPUT DROP
# iptables -A INPUT -i lo -j ACCEPT

で、ウェブブラウザを立ち上げてみる。読み込まない。つまり、全ての通信を許可しているというわけではなさそうだ。

では、これに

# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

この許可を追加すれば何の問題も起こるまい。

# iptables-save > /etc/iptables.up.rules
# iptables-save > /etc/iptables.down.rules

保存して再起動。

普通に立ち上がってくれた。OSの動作はこれで問題がなさそうだから、あとはアプリケーションで何か問題があったときにその都度ポートを開けてあげれば良いか。



ふー、しかし、このiptablesというやつ、使いこなすにはやはり通信の知識が必要っぽいな。デスクトップ向けにちょうどいいテンプレートでもあれば良いんだけれど。

それと、現在OUTPUTが完全に開けっぴろげなんだけど、これはマルウェアを仕込まれた場合に困るよね…。GNU/Linuxシステムを使っている以上メールやUSBメモリから感染する心配は少ないし、iceweasel(Firefox)はNoscriptをかまし、rootは必要最小限に止め、通常使うユーザーにはsudo権限を与えていないけれど…。

…もしかして、Windowsファイアーウォールとかセキュリティソフトに騙されているだけで、適切に設定されているルーターさえあればパソコンにインストールするファイアーウォールなんかいらないんじゃ…

テーマ : セキュリティ
ジャンル : コンピュータ

ストリートビュー、自治体に事前通知へ

asahi.com(朝日新聞社):ストリートビュー掲載、自治体に事前説明へ グーグル - 社会

グーグル担当者「ストリートビュー」事前通知を検討 都審議会 - MSN産経ニュース

グーグル:「ストリートビュー」今後は自治体へ事前説明 - 毎日jp(毎日新聞)

グーグル「詰め甘かった」…ストリートビュー、事前通知へ : 社会 : YOMIURI ONLINE(読売新聞)

以前書いた通り、プライバシー、とりわけ肖像権の面からグーグル社のやったことに問題がなかったとは絶対に言えない(ほとんど同じ視点から中止を求める声明が福岡県弁護士会からありました(福岡県弁護士会 福岡県弁護士会 主張・提言:ストリートビューサービスの中止を求める声明))ので、グーグル社がようやく非を認めてくれたことはとりあえずは良かったか。

これで全面解決とは思わないがね。ニュースでは「画像の公開前」と言っているのであって、写真を撮ること自体に対する説明がなければ京都府学連事件判決の確認した権利の侵害はあると考えられるわけだし。この判決が確認した権利は公権力対私人に限られ、私人対私人にはそのまま適用はできないのかも知れませんが、だからと言って何でもありではないだろうし、大手メディアと私人はそう簡単に同列には語れないでしょう。

とりあえず、事前に自治体に説明をするならば、写真を撮る前に自治体に撮る日時と撮影車が走るルートを示してもらって、自治体がそのことを住民に周知する時間をもらい、仮に住民からの反発が多ければ撮影をお断りをする、あるいは住民からの我が家を撮らないで欲しいとの申し立てがあれば、自治体はそれをグーグル社に伝えて撮影車はそこは撮らないようにするくらいの配慮があっても良いと思うんだが、どうだろう。



追記

最初は毎日のサイトで見つけた記事なんですが、大手四社ともにネタにしていたので並べてみました。するとなかなかおもしろいですね、朝日の記事には気になる文言が。

>しかし、自治体側から掲載を反対された場合の対応については、「許諾事業ではない」と明言を避けた。

いや、十分明言しているよ!反対受けても公開するってことでしょ。よーは完全にポーズってことですね。あーあ。

何かこの騒動以来、俺の中のグーグル社のイメージがめっちゃ悪くなっているわ…。まあ、グーグル社は神さまじゃないし、国家機関というわけでもない、グーグル社と利用者は一応は私人対私人の関係だから、やみくもに疑うわけでもなく、かと言って全面的に信用するわけでもなく、良ければ使い、悪ければ他のを使うもしくは使わないべきで、どうのこうの言うべきものでもないのかもしれないけれども。

テーマ : コンピュータ関連ニュース
ジャンル : コンピュータ

プロフィール

ざっぱー

Author:ざっぱー
(この画像について)

当ブログについて
メール
(このメールアドレスへの特定電子メール (迷惑メール) の送信はお断りします)

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。