Tomcat 5.5: Berechtigungen an bestimmten Dateien
Hi, auf einigen meiner SLES 10 Systeme zickt seit kurzem logrotate, daß div. Berechtigungen an Dateien unsicher seien. Wenn ich das dann mit rpm --verify überprüfe ist alles gut, bis auf eine Installation. Bei tomcat 5.5 stimmt wohl folgendes nicht: ============================================== pc53200:~ # rpm --verify tomcat5-5.5.27-0.18.4 .....UG. c /etc/tomcat5/base/context.xml .....UG. c /etc/tomcat5/base/jk2.manifest .....UG. c /etc/tomcat5/base/jkconf.ant.xml .....UG. c /etc/tomcat5/base/jkconfig.manifest S.5....T c /etc/tomcat5/base/server.xml .....UG. c /etc/tomcat5/base/shm.manifest .....UG. c /etc/tomcat5/base/tomcat-jk2.manifest S.5....T c /etc/tomcat5/base/tomcat-users.xml .....UG. c /etc/tomcat5/base/uriworkermap.properties .....UG. c /etc/tomcat5/base/workers.properties .....UG. c /etc/tomcat5/base/workers.properties.minimal .....UG. c /etc/tomcat5/base/workers2.properties .....UG. c /etc/tomcat5/base/workers2.properties.minimal Ein Listing des Verzeichnisses zeigt folgendes: pc53200:~ # l /etc/tomcat5/base/ total 304 drwxr-xr-x 3 tomcat tomcat 4096 Mar 11 16:40 ./ drwxr-xr-x 3 root root 4096 Jan 18 04:28 ../ drwxr-xr-x 3 tomcat tomcat 4096 Jan 18 04:28 Catalina/ -rw-r--r-- 1 tomcat tomcat 9760 Jan 18 04:28 catalina.policy -rw-r--r-- 1 tomcat tomcat 3896 Jan 18 04:28 catalina.properties -rw-r--r-- 1 tomcat tomcat 1157 Jan 18 04:28 context.xml -rw-r--r-- 1 tomcat tomcat 310 Jan 18 04:28 jk2.manifest -rw-r--r-- 1 tomcat tomcat 1560 Jan 18 04:28 jk2.properties -rw-r--r-- 1 tomcat tomcat 2808 Jan 18 04:28 jkconf.ant.xml -rw-r--r-- 1 tomcat tomcat 170 Jan 18 04:28 jkconfig.manifest -rw-r--r-- 1 tomcat tomcat 3606 Jan 18 04:28 logging.properties -rw-r--r-- 1 tomcat tomcat 1678 Jan 18 04:28 server-minimal.xml -rw-r--r-- 1 tomcat tomcat 19617 May 10 2010 server.xml -rw-r--r-- 1 tomcat tomcat 19624 May 10 2010 server.xml.orig -rw-r--r-- 1 tomcat tomcat 125 Jan 18 04:28 shm.manifest -rw-r--r-- 1 tomcat tomcat 243 Jan 18 04:28 tomcat-jk2.manifest -rw-r--r-- 1 tomcat tomcat 414 Mar 11 16:40 tomcat-users.xml -rw-r--r-- 1 tomcat tomcat 310 May 10 2010 tomcat-users.xml.orig -rw-r--r-- 1 tomcat tomcat 1361 Jan 18 04:28 uriworkermap.properties -rw-r--r-- 1 tomcat tomcat 51046 Jan 18 04:28 web.xml -rw-r--r-- 1 tomcat tomcat 50409 May 10 2010 web.xml.orig -rw-r--r-- 1 tomcat tomcat 50410 May 10 2010 web.xml.rpmsave -rw-r--r-- 1 tomcat tomcat 6449 Jan 18 04:28 workers.properties -rw-r--r-- 1 tomcat tomcat 1317 Jan 18 04:28 workers.properties.minimal -rw-r--r-- 1 tomcat tomcat 3575 Jan 18 04:28 workers2.properties -rw-r--r-- 1 tomcat tomcat 1653 Jan 18 04:28 workers2.properties.minimal =============================== Hat einer von Euch tomcat 5.5 laufen, und kann mir mal die "richtigen" Berechtigungen sagen ? Was nat. leider nicht klärt, wieso die geändert sind. Danke. Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de phone: +49 89 3187 1241 fax: +49 89 3187 3826 http://www.helmholtz-muenchen.de/idg Wer Visionen hat, soll zum Hausarzt gehen Helmut Schmidt Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Bernd, hallo Leute, Am Montag, 19. März 2012 schrieb Lentes, Bernd:
auf einigen meiner SLES 10 Systeme zickt seit kurzem logrotate, daß div. Berechtigungen an Dateien unsicher seien. Wenn ich das dann mit rpm --verify überprüfe ist alles gut, bis auf eine Installation.
Zeig mal die _genaue_ Fehlermeldung von logrotate... Ich könnte jetzt ins Blaue glaskugeln (und bin mir, ohne jemals einen SLES oder Tomcat benutzt zu haben, ziemlich sicher, dass die Fehlermeldung "It must be owned and be writable by root only to avoid security issues." enthält) - aber wenn Du das Problem nicht verrätst, verrate ich auch die Lösung nicht *eg*
Hat einer von Euch tomcat 5.5 laufen, und kann mir mal die "richtigen" Berechtigungen sagen ?
Frag doch einfach Deinen Computer, der weiß das ;-) rpm -qlv tomcat5 Gruß Christian Boltz -- Sometimes I feel that using osc (and OBS) is like driving an alien space ship, full of nice features, but I cannot read the manual ;-) [Filipe in opensuse-packaging] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Tue, Mar 20, 2012 at 12:23:33AM +0100, Christian Boltz wrote:
Am Montag, 19. März 2012 schrieb Lentes, Bernd:
auf einigen meiner SLES 10 Systeme zickt seit kurzem logrotate, daß div. Berechtigungen an Dateien unsicher seien. Wenn ich das dann mit rpm --verify überprüfe ist alles gut, bis auf eine Installation.
Zeig mal die _genaue_ Fehlermeldung von logrotate...
Ich könnte jetzt ins Blaue glaskugeln (und bin mir, ohne jemals einen SLES oder Tomcat benutzt zu haben, ziemlich sicher, dass die Fehlermeldung "It must be owned and be writable by root only to avoid security issues." enthält) - aber wenn Du das Problem nicht verrätst, verrate ich auch die Lösung nicht *eg*
Das ist es sehr wahrscheinlich. Siehe auch http://lists.openSUSE.org/opensuse/2012-03/msg00892.html rpm -q --changelog logrotate * Tue Jan 31 2012 lnussel@suse.de - Backport svn rev 317, 358-360, 362 (bnc#677335) - don't accept service owned log directories anymore - don't run external programs with uid != euid - switch euid back to root before running external scripts - run compressors and shred as unprivileged user - add O_NOFOLLOW when opening files as safeguard against symlink tricks - add "su" config option https://bugzilla.novell.com/show_bug.cgi?id=677335 Lars -- Lars Müller [ˈlaː(r)z ˈmʏlɐ] Samba Team SUSE Linux, Maxfeldstraße 5, 90409 Nürnberg, Germany
Christian schrieb:
Hallo Bernd, hallo Leute,
Am Montag, 19. März 2012 schrieb Lentes, Bernd:
auf einigen meiner SLES 10 Systeme zickt seit kurzem logrotate, daß div. Berechtigungen an Dateien unsicher seien. Wenn ich das dann mit rpm --verify überprüfe ist alles gut, bis auf eine Installation.
Zeig mal die _genaue_ Fehlermeldung von logrotate...
Ich könnte jetzt ins Blaue glaskugeln (und bin mir, ohne jemals einen SLES oder Tomcat benutzt zu haben, ziemlich sicher, dass die Fehlermeldung "It must be owned and be writable by root only to avoid security issues." enthält) - aber wenn Du das Problem nicht verrätst, verrate ich auch die Lösung nicht *eg*
Stimmt, ist genau diese Meldung: "error: "/var/log/news" has insecure permissions. It must be owned and be writable by root only to avoid security problems. Set the "su" directive in the config file to tell logrotate which user/group should be used for rotation."
Hat einer von Euch tomcat 5.5 laufen, und kann mir mal die "richtigen" Berechtigungen sagen ?
Frag doch einfach Deinen Computer, der weiß das ;-) rpm -qlv tomcat5
rpm -v sagt mir nur, daß die ownership von user und group falsch sind, aber nicht, welches die richtigen wären. Obwohl, wenn ich mir so die Fehlermeldung anschaue ... müßte ug wohl auf root gesetzt werden. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Tue, Mar 20, 2012 at 05:11:41PM +0100, Lentes, Bernd wrote:
Christian schrieb:
Hallo Bernd, hallo Leute,
Am Montag, 19. März 2012 schrieb Lentes, Bernd:
auf einigen meiner SLES 10 Systeme zickt seit kurzem logrotate, daß div. Berechtigungen an Dateien unsicher seien. Wenn ich das dann mit rpm --verify überprüfe ist alles gut, bis auf eine Installation.
Zeig mal die _genaue_ Fehlermeldung von logrotate...
Ich könnte jetzt ins Blaue glaskugeln (und bin mir, ohne jemals einen SLES oder Tomcat benutzt zu haben, ziemlich sicher, dass die Fehlermeldung "It must be owned and be writable by root only to avoid security issues." enthält) - aber wenn Du das Problem nicht verrätst, verrate ich auch die Lösung nicht *eg*
Stimmt, ist genau diese Meldung: "error: "/var/log/news" has insecure permissions. It must be owned and be writable by root only to avoid security problems. Set the "su" directive in the config file to tell logrotate which user/group should be used for rotation."
Hat einer von Euch tomcat 5.5 laufen, und kann mir mal die "richtigen" Berechtigungen sagen ?
Frag doch einfach Deinen Computer, der weiß das ;-) rpm -qlv tomcat5
rpm -v sagt mir nur, daß die ownership von user und group falsch sind, aber nicht, welches die richtigen wären. Obwohl, wenn ich mir so die Fehlermeldung anschaue ... müßte ug wohl auf root gesetzt werden.
Das ist ein Bugfix von logrotate den wir released haben in Bezug auf die logdirectories und die logfiles und wem die gehoeren. Ein neues syslog update wird die Warnung beheben. Im Endeffekt wird eine "su news news" Zeile im logrotate snippet hinzugefuegt. Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Tue, 20 Mar 2012, Lentes, Bernd schrieb:
Christian schrieb:
Frag doch einfach Deinen Computer, der weiß das ;-) rpm -qlv tomcat5
rpm -v sagt mir nur, daß die ownership von user und group falsch sind, aber nicht, welches die richtigen wären.
Doch. rpm -V != rpm -qlv. # rpm -Vvf /var/log/apache2|grep var/log ......... /var/log/apache2 # rpm -qlvf /var/log/apache2|grep var/log drwxr-x--- 2 root root 0 Feb 16 10:59 /var/log/apache2 HTH, -dnh -- 4: Garbage Collection Windows 95 (Kristian Köhntopp) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
David schrieb:
-----Original Message----- From: David Haller [mailto:dnh@opensuse.org] Sent: Tuesday, March 20, 2012 7:04 PM To: opensuse-de@opensuse.org Subject: Re: Tomcat 5.5: Berechtigungen an bestimmten Dateien
Hallo,
Am Tue, 20 Mar 2012, Lentes, Bernd schrieb:
Christian schrieb:
Frag doch einfach Deinen Computer, der weiß das ;-) rpm -qlv tomcat5
rpm -v sagt mir nur, daß die ownership von user und group falsch sind, aber nicht, welches die richtigen wären.
Doch. rpm -V != rpm -qlv.
# rpm -Vvf /var/log/apache2|grep var/log ......... /var/log/apache2 # rpm -qlvf /var/log/apache2|grep var/log drwxr-x--- 2 root root 0 Feb 16 10:59 /var/log/apache2
Aaah. So langsam kommt Lich ins Dunkel. Wenn rpm feststellen kann, ob sich die ownership geändert hat, muß es ja wissen, was die "richtige" ownership ist. Und die müsste man rpm doch entlocken können. Und das geht wie ? S.o. Danke. Sorry für PM. Leider weiß ich immer noch nicht, wieso die geändert wurden :-(. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Bernd, hallo Leute, Am Dienstag, 20. März 2012 schrieb Lentes, Bernd:
Christian schrieb:
Am Montag, 19. März 2012 schrieb Lentes, Bernd:
Ich könnte jetzt ins Blaue glaskugeln (und bin mir, ohne jemals einen SLES oder Tomcat benutzt zu haben, ziemlich sicher, dass die Fehlermeldung "It must be owned and be writable by root only to avoid security issues." enthält) - aber wenn Du das Problem nicht verrätst, verrate ich auch die Lösung nicht *eg*
Stimmt, ist genau diese Meldung: "error: "/var/log/news" has insecure permissions. It must be owned and be writable by root only to avoid security problems. Set the "su" directive in the config file to tell logrotate which user/group should be used for rotation."
Lars war schneller als ich (Spielverderber! ;-) - und was macht eigentlich das Apparmor-Profil für winbindd? *eg*), von daher kennst Du die Lösung ja inzwischen.
Hat einer von Euch tomcat 5.5 laufen, und kann mir mal die "richtigen" Berechtigungen sagen ?
Frag doch einfach Deinen Computer, der weiß das ;-) rpm -qlv tomcat5 ^^^^ rpm -v sagt mir nur, daß die ownership von user und group falsch sind, ^^
Kannst Du mal bitte Deine Brille putzen ;-) und dann die markierten Teile nochmal vergleichen? Gruß Christian Boltz --
Wozu braucht root einen Browser? Fürs Internet? *wuuhahaha* Der Tag faengt echt gut an... Gleich so ein Highlight am Morgen, herrlich... [> Marcel Stein und Thomas Hertweck in suse-linux]
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (5)
-
Christian Boltz -
David Haller -
Lars Müller -
Lentes, Bernd -
Marcus Meissner