ntsec - みる会図書館

1. UNIX MAGAZINE 2001年6月号

連載 /lnside Cygwin— 図 10 Pernnss10n denied /My Pictures $ nts 1 上 ( たぶんバージョン 3.0 ) では、ドメイン・コントローラのいので同し結果になってしまう。しかし、将来の Samba ドメイン・コントローラの発行した SID を使ってくれなンでユーサー認証することも可能だが、現犬の Samba は Samba サーバーを NT ドメインに参加させて、ドメイきない。には、このセキュリティ言当子を正しく処理することはでにオ褓内された Windows のアカウントしか扱えない ntsec した SID を用いることにある。 /etc/{passwd,group} ュリテイ記述子に、 UNIX のアカウント情報をもとに生成この原因は、 Samba がファイルやディレクトリのセキイルに書込別雀限がないといわれてしまう。ない。次に、コピーしたファイルを消そうとすると、ファも、ファイルのユーサーとグループも正しく表示されていラーになる。 ls ー 1 で見るとたしかに失敗している。しか自体は成功するものの、アクセス権限の変更に失敗して工ように実行権限が与えられている。このファイルのコピーのアプリケーションか作成したファイルなので、前述したーム・ディレクトリにコピーしている。これは Windows たヒ、ツトマッフ・ファイル ( Ⅱ tsecl. bmp ) を、 UNIX のホたとえは図 10 では、 Windows の、、ペイント " てイって怒られることが多くなる。イルシステムを操作しているときに、アクセス権限につい Cygwin を使っていると、 Samba 経由で UNIX のファ ntsec は Samba と相性が悪い。 ntsec を有効にして Samba と相性が悪いみよう。されました " といわれたら、ファイルの実行権限を疑ってので、 Windows のアプリケーションに、、アクセスカ甘巨否 Execute を使っているのは start コマンドだけではない / 当 Pictures $ - rm: 「 nve w 「ⅱ 0 ー p 「 0 士 ect f i 、 / / め / ん j i 今 / S81. ' ? y ′ Pictures $ rm / / 沚 0 / f ⅵ ie / ntse:l . 0 1 41606 binist 2986038 「 15 16 : 23 //t_hcho/fuj ieda/ntsecl . / Pictures $ ls ヨ / / 0 / 化 j i a / S81. : preserving 「 mi i 師 fo 「 //ul 、 oho/fujieda/ntsecl しー ~ / 物′ Pictures $ nts 1 . //lhoho/fuj ieda - rwx¯ 1 fuj ieda Ckmain U 2986038 物「 25 09 : 27 ntsecl 上 np ま図 11 # 朱なアクセス権のオンパレードファイル ( E ) : 新 e れ叩跖 e 所有者 Q ) : 回旧 da (KazuhWo F 可 da ) 万イルのア恤ス宿名前せ Fveryone 回肥 da (Kazuhiro F 可旧 da ) 特殊な乃セス ( R ) なツ = 特殊なア社ス権 (RWDPO) 特殊なア社ス権 ( この間題への対処法が Samba のバージョンアップを待っというだけではあんまりなので、 CygwinDLL 1.1.7 から、工竟変数 CYGWIN に設定するオプションとして nosmbntsec が追加された。このオプションを指定すると、共有ディレクトリでは ntsec の機能が無効になるので、 Samba 上のファイルの操作でいちいち怒られることはなくなる。ただし、このオプションはその名前に反して、 Samba にかぎらすすべての共有ディレクトリに適用されるため、 Windows NT / 2000 がサーノヾーとなっている共有ディレクトリでも ntsec が無効になるので注意してほしい。このオプションを cygwin. bat で設疋する方法を以下に示す。見てのとおり、 CYGWIN 環境変数に複数のオフションを指定する際には、オプションをスペースで区切って並べればよい。 chdir *cygwin*bin SET CYGWIN=ntea nosmbntsec bash ——login —i ←挿入発行した SID を使うようになるので、るはすだ。 120 この問題は解決すアクセスコントロール・エテイタと相性がい UNIX のアクセス権限をエミュレーションするために ntsec はファイルやディレクトリに Windows ではありえないような ACL を設定する。そのため、ファイルの、、プロノヾティ " →、、セキュリティ " で表示される、 Windows のアクセスコントロール・エデイタとの相性がたいへん亜い・ ( し、 0 Ⅵⅱ ndowsNT4.0 のアクセスコントロール・エデイタは、かなり貧弱である。 ntsec によって ACL が設定されたファイルをこれで見ると、、、特殊なアクセス権 " のオンパレードになる ( 図 11 ) 。前述したように、ファイルに実行権限がないことは稀なので、言もムみ権限 (R) だけの設定すら特殊なアクセス本及いになる。さらに、 NT 4.0 の UNIX MAGAZINE 2001.6

2. UNIX MAGAZINE 2001年6月号

連載 /lnside Cygwin— 最後に、今回紹介した ntea と ntsec を利用すると、どれくらい stat の実行速度が変わるかを調べてみよう。 ntea と ntsec がそれぞれ用いるファイルの拡張属性とセキュリテイ記述子は、どちらもファイルシステムのマスター・ファイルテープル ( MFT ) 4 のファイルレコードにオ褓内される。 MFT は普通のファイルよりは高速にアクセスできるはすなので、ファイルの頁を読み出す従来の工ミュレーション方式よりも、 ntea か ntsec を有効にしたほうが stat か速くなることか期待できる。前々回のべンチマークとまったく同じ環境で、 lmbench に含まれている lat-syscall を用いた fstat の遅延の計測結果を表 1 に示す。測定対象として、 ntea 、 ntsec ともに UNIX のアクセス権限に 644 を設定したファイルを使用した。残念ながら、かえって遅い結果が出ている。前々回述べたように、 lmbench の計測方法では同しファイルに対して繰り返し fstat を実行している。そのため、キャッシュされているファイルの先頭を読むだけの通常の方式と、ファイルレコードの特定の位置を読む必要がある ntea や ntsec との差が出たようだ。 ntsec が ntea よりも遅いのは、 ntsec では ACL から UNIX のアクセス権限のフラグを言算するコストがかかるためだろう。こんな結果ではおもしろくないので、より現実的な状兄での性能を測ってみよう。たとえは、 bash でコマンドラインの : 頁で TAB キーを押してから、制彳卸カ唳ってくるまでにかかる時間なんてどうだろう。これは、実行・パスの通ったディレクトリのすべての実行ファイルク架索にかかる時間を調則することになる。この時間を以下の手順て何度か繰り返し測定して、もっとも速かった結果をまとめたものを表 2 に示す。 $ echo 'AVAI' ー time bash —i あちこちのディスクプロックに存在するファイルの先頭を読む通常の方式より、 MFT のファイルレコードですむ ntea や ntsec のはうがイ当立であることがよく分かる結 4 inode テープルのようなもの。ようにしたはうがいいかもしれない。 stat の実行速度の変化 UNIX MAGAZINE 2001.6 表 1 fstat のべンチマーク ( 単位 : 秒 ) 通常 ntea ntsec 122.4 157.8 24.5 表 2 bash を使ったべンチマーク ( 単位 . 秒 ) ) 甬常 ntea 19.6 2.73 1.56 果になっている。ただし、 ntea については、拡張領域には何い褓内されていない状態で言測しているので、拡張領域の言もムみはおこなわれていない。それを考えると、 ntsec が ntea よりも速いのは不可解だが、調べている時間がなくなってしまったので目をつぶってほしい。おわりに今回は、 Windows NT / 2000 固有の機能を使ったアクセス権限のエミュレーション方式である ntea と ntsec について説明した。今回は ntsec についてたくさん苦言を述べたが、それでも僕は ntsec というエミュレーション方式を気に入っている。現在の ntsec のイ兼には、僕の要望がかなり大きく反映されているので、僕が気に入らなかったら誰が気に入るんだという説もある。 ntsec について説明を書きながらいろいろ調べているうちに、いくつかバグがみつかったので、 ntsec の作者の Corinna と相談しつつ、なるべく Cygwin DLL 1.3.0 がリリースされる前に直すつもりだ。次回は、 Cygwin の inetd や sshd について説明する予定である。 ( ふしえだ・かすひろ北陸先立斗 ! 物翅寸大凝完大学 ) 123

3. UNIX MAGAZINE 2001年6月号

図 12 NT 5.0 ってなんでしよう現在のセキュリティ情報を変更しますか ? ュ竺」一連載 /lnside Cygwin— W 扣 T セキュリティー図 13 アクセス許可の頂番か正しくありません ! に胃己挈寺 ! 3 日れ ? リが無効になる可能性がありま魂続行してアクセス許可を正し並べ替えるには、アクセスコントロール・エデイタは拒否の ACE を扱えないので、 ntsec カ甘巨否の ACE を設疋すると図 12 のような笑うしかないエラーになってしまう。 Ⅵ Tindows2000 のアクセスコントロール・エデイタはいくらかましで、拒否の ACE ぐらいで弱音を吐いたりはしない。しかし、 ntsec の設定する ACL に対して、図 13 のような不平をもらす場合がある。この図の、、アクセス許可 " とは ACL に含まれる ACE のことである。この工ラーの孑商どおり、 ntsec が ACE を並べる順序はたしかに正しくない。 Microsoft のドキュメント 3 には、、、拒否の ACE を並べてから許可の ACE を並べるべし " というルールか示されている。しかし ntsec は、許可と拒否の ACE を分けずに並べることがある。たとえば、 chmod を使って—rw—r— -rw— ( 646 ) というアクセス権限を設定したとしよう。このときにファイルの所有者カワァイルのクルーフに属していると、 ntsec が設定する ACL は以下のようになる。 1. 所有者への許 - 可 : rw- 2. グノレーフ。 , の孑巨否 : —w— 3. グルーフへの許可 : r- 4. Everyone , の言午可 : rw— UNIX のアクセス権限のモデルでは、 others の書込み許可があったとしても、グルーフ。の書込みは拒否しなけれはならない。しかし、 Microsoft のドキュメントに従って、グループの書込み拒否を ACL の先頭にもっていく 3 http://msdn.microsoft.com/library/psdk/winbase/ accctrl-2hik. htm UNIX MAGAZINE 2001.6 と、グループに所属している所有者の書込みまて拒否されてしまう。したがって、この順番に並べるしかない。さきのドキュメントには、 ACE を並べる国について、もう 1 つルールが示されている。、、ディレクトリから継承する ACE よりも、ファイルのグループに関する ACE を則に並べるべし " というものだ。 ntsec はこのルールを絶対に守らないので、ディレクトリから継承する ACE があるだけで図 13 のエラーになってしまう。これには何か理由があったと思うが、たんなるバグのような気もしてきたので、そのうち直すとしよう。いすれにせよ、アクセスコントロール・エデイタがェラーを出力したときには、アクセスコントロール・エディタには扱えない ACL がファイルに設定されている。れをアクセスコントロール・エデイタで触ってしまうと、 ntsec か叡疋した ACL は台無しになってしまう。ティレクトリのアクセス権限の意味が違うアクセスコントロール・エデイタと卩印華してまで UNIX らしさを演出しようとする ntsec だが、それでも UNIX のアクセス権限を完全にエミュレーションできているわけではない。これは ntsec を含むすべてのエミュレーション方式に共通する欠点だが、書込み権限のないディレクトリにおけるファイル / ディレクトリの作成と削除、名前の変更が可能になっている。 UNIX のアクセス権限をエミュレーションするのなら、これらは Permission denied にしなけれはならない。さらに、実行権限のないディレクトリにあるファイルのオープンも、 UNIX なら Permission denied になるが Cygwin では可能だ。書込み権限のないディレクトリでの振舞いは、エミュレ 121

4. UNIX MAGAZINE 2001年6月号

連載 /lnside Cygwin 図 2 ntsec によるアクセスオ郷艮のエミュレーション図 3 Solaris 8 での getfacl/setfacl 吏用例 Eae を C れ当をは var/tmp $ 劇「に -sr var/tmp $ に himitst 」 0 4 月 19 日 06 : 29 h 」 1 fuj ie:ia ot 「 va 「ハ $ setfacl -m 「 : 「” 0 「 e : 「 - - himitsu va 「 /tmp $ getfacl himit3 」 file: himitsu g 「 Ot ト r 回 ; リ 1 曾 0 を日物ーズ上いい、灯うこ《 0 ー、っ 4 0 》 0 #effect ive:- #effect ive: - Windows NT / 2000 では、 NTFS 上のファイルを含め、セキュリティの設定か可能なすべてのオプジェクトがセキュリティ言当子をもっている。セキュリティ言当子には、オプジェクトの所有者とグループの識別子、オプジェクトに関するアクセスコントロール・リスト (ACL) カ哈まれている。 ntsec を有効にしたときの stat は、これらの識別子をもとにファイルのユーサー ID (uid) とグループ ID (gid) を決定し、 ACL の内容にもとづいて UNIX のアクセス権限を表すビットパターンを作成する。ふつうに Windows NT / 2000 を利用していると、セキュリティ言当子のグルーフの値とは縁がないので、ファシステムコールを、 Windows NT / 2000 の ACL を使っイルにグループの概念があることに違和感を覚えるかもしれない。しかし、たしかに NTFS はファイルのグループてエミュレーションしている。 Solaris の acl システムコールを使っているアプリケーションなら、 Cygwin 上を言当求しているし、グループを変更することもできる。でコンパイルすればそのまま動くはすだ。 ACL には、複数のアクセスコントロール・エントリ (ACE) が含まれている。 ACE には、、許可 " と、拒否 " の Cygwin DLL の配布ノヾッケージには、 Solaris の同名のコマンドを参考に、 acl システムコールを使って作った 2 不鶤頁があり、 1 つのユーサーかグループについて、ⅱ丿し getfacl と setfacl まで入っている。ューサーやグループむ / 書く / 実行などの行為の許可・拒否か轂定されている。をⅲ d や gid で指定しなければならないことを除けば、使 ntsec は、 UNIX のアクセス権限のエミュレーションにファイルの所有者とグループそれぞれに対する許可およびい方は Solaris とまったく同しである。これらのコマンド拒否の ACE と、 Everyone グループの許可の ACE を用の SoIaris 8 - 上での使用例を図 3 に、 Windows 2000 上での使用例を図 4 に示す。この例では ACL を使って、自いている。分のほかにユーザー daresore にだけ読めるという設疋を ntsec を有効にすると、 stat がファイルのツ頁のマジッおこなっている。クナンバーを調べるのをやめるので、 stat によってファイルの atime か更新されることはなくなる。さらに、見問題山積みの ntsec かけ倒しの ntea とは異なり、 chmod で実行権限を落と ntsec はそれなりによくできたエミュレーション方式だしたファイルは本当に実行できないし、言もムみ権限を落とか : これはこれでいろいろと間題を抱えている。 UNIX でしたファイルは読めなくなる。も Windows でもないコウモリのような存在として両方 acl システムコーノレのエミュレーションのユーサーに持ち悪がられる Cygwin にあって、 ntsec 最近では、多くの UNIX が ACL をサポートしており、はとくにコウモリ色の強い、つまり UNIX でも Win- それぞれ独自に ACL を操作するシステムコールを提供し dows でもない気持ち悪さに満ちたエミュレーション方式この点についてはのちほど触れるとして、ますはている。 Cygwin DLL は、 SoIaris の孑是イ共している acl なのだ。図 4 Windows 2000 での getfacl/setfacl 吏用例」ロ / va 「 / p $ に -sr CY ーに NT ー 5.0 1 . 1 .8 ( 0.34 / 3 / 2 ) /var/ttrc $ himitsu 1 fujieda ィⅲ U 0 「 19 06 : 39 himitsu / va 「 / 0 $ 記「お 0 「 e ⅲ d ニ 11084 ( r ぉ ore ) gid : 10513 ( 旧 in Users) g 「 0 ェ s : 10513 ( D ァ in \.kers) /var/tmo $ setfacl -m user: 11034 : 「一 - himitsu 。を引 $ getfacl himitsu file: himitsu c 肥「 : 11002 # g 「伏 0 : 10513 、 -2 「 : 11084 : に一 / va 「ハ mp $ 116 UNIX MAGAZINE 2001.6

5. UNIX MAGAZINE 2001年6月号

連載 /lnside Cygwin ・一図 5 SID を含む /etc/passwd と /etc/group ・ /etc/passwd Everyone:*:O:O: , S ー 1 ー 1 ー 0 : SYSTEM:*:18:18: , S ー 1 ー 5 ー 18 : Administrator: : 500 : 513 : , S ー 1 ー 5 ー 21 ー 1730945627 ー 1768298809 ー 2076119496 ー 500 : : /bin/sh fujieda: : 1002 : 513 :Kazuhiro Fujieda , S ー 1 ー 5 ー 21 ー 1730945627 ー 1768298809 ー 2076119496 ー 1002 : 疇、 /home/fuj ieda : /bin/bash ・ /etc/group Everyone : S ー 1 ー 1 ー 0 : 0 : Users : S ー 1 ー 5 ー 21 ー 1730945627 ー 1768298809 ー 2076119496 ー 513 : 513 : Guests : S ー 1 ー 5 ー 21 ー 1730945627 ー 1768298809 ー 2076119496 ー 514 : 514 : Admins : S ー 1 ー 5 ー 21 ー 1730945627 ー 1768298809 ー 2076119496 ー 512 : 512 : SYSTEM:S—1—5—18:18: Domain Domai11 Domain ntsec を利用する際には、 mkgroup と mkpasswd コマンドで作成した /etc/passwd と /etc/group が必である。これらのファイルの一部を図 5 に示す。ューサーの GCOS フィーノレドと、グループのノヾスワード・フィールドに言当されている、、 S ー " て始まる数字の列は、セキュリティ識別子 (SID) である。 Windows NT / 2000 では、ユーザーやグルーフが名前ではなく SID で識別される。 ntsec は UNIX のアクセス権限をエミュレーションするために、 /etc/passwd と /etc/group を使って SID と uid/gid 間の相圧変換をおこなっている。 uid と gid として用いられる数字は、デフォルトでは SID の最後の要素の相対識別子である。 /etc/passwd と /etc/group を作りなおす連載の第 1 回 ( 2000 年 12 月号 ) でも説明したようにこれらのファイルは Cygw ⅲのインストーラによって生成される。しかし、 Active Directory や NT ドメインのアカウントに対応するエントリは生成されないので、必要ならインストール後に生成しなおさなけれはならない。 ntsec を利用するには、 /etc/passwd にグルーフに対応するエントリを追加する必要があるので、いすれにせよ /etc/passwd は生成しなおさなけ川まならない。 Windows NT / 2000 では、グループがファイルの所有者になることがある。たとえは、 Windows のシステム ntsec を利用するためのお膳立てから説明しよう。 ntsec のための準備 UNIX MAGAZINE 2001.6 ( 誌面の都合上、で折り返しています。以下同様 ) 図 6 mkpasswd コマンド吏い方 mkpasswd [ オプション ] [ ドメイン名 ] mkgroup コマンドの使い方 ( デフォルトは /home) -p くパス名 > : ホーム・ディレクトリの親ディレクトリ -s : SID を出力しないさせない -m : ホーム・ディレクトリにマウントテープルを反映 -g : ローカルグルーフのエントリを出力 -d : ドメインユーザーのエントリを出力ー 1 : ローカルューサーのエントリを出力図 7 117 2 Microsoft はこれを付様と言い張っている。んだ /etc/passwd と /etc/group を生成するには、ドメドメインのアカウントをはしめ、必喫帯にをすべて含は -s を指定してはいけない。しなけれはならない。もちろん、 ntsec を利用する場合にのいすれかを、 mkgroup には一 1 か -d のいすれかを指定図 7 に示す。 mkpasswd にはすくなくとも一 1 、 -d 、 -g mkpasswd と mkgroup の使い方を、それぞれ図 6 とも Administrators グループのエントリか必要になる。これらのファイルを扱う際には、 /etc/passwd のほうにす Administrators グループになるという欠陥 2 もある。所属するユーサーが作成したファイルの所有者が、かならある。 Windows NT には、 Administrators グループにファイルの大半は、所有者が Administrators グルーフで -s : SID を出力しない -d : ドメイングルーフのエントリを出力ー 1 : ローカルグルーフのエントリを出力 mkgroup [ オプション ] [ ドメイン名 ]

6. UNIX MAGAZINE 2001年6月号

連載 /lnside Cygwin— SID を用いれは区別は可能だが、 Cygwin DLL の内部でも、ほとんどの箇所で uid と gid かイ吏われているため両者の区別がつかない。 uid や gid が重複している場合には、 /etc/passwd や /etc/group の最初のエントリの SID が用いられるので、ローカルの Administrator のファイルの所甬 1 者がドメインの Administrator になったり、 Domain Users グルーフのファイルがどのグルーフのものでもなくなったりする。この間題を解決するには、 RID か衝突しているアカウントの uid や gid を手で修正しなけれはならない。たとえは、ドメインのすべてのアカウントのⅲ d と gid に 10000 くらいの大きな数字を加えれは、重複は避けられる。 Cygwin DLL 1.3.0 に付属の mkpasswd と mkgroup では、ドメインのエントリを出力するときに最初から uid と gid に 10000 を加えるようになっている。つまり、ドメインの Administrator の uid は 10500 に、 Domain Users の gid は 10513 となり、 /etc/passwd のドメインのユーザーのグルーフ・フィールドも 10513 になる。 Cyg- win DLL 1.3.0 がリリースされていれば、 /etc/passwd と /etc/group を生成しなおすだけで、 uid や gid が重複する間題は夬するはずな重複している名前を変更するローカルとドメインの Administrator は、 uid だけでなく名前も重複している。ローカルとドメインの双方にアカウントをもっている人は、自分の名前が /etc/passwd で重複することもあるだろう。前述したように、 Cygwin DLL の内部では uid と gid が用いられているので、ユーザー名か重複していても間題はないはすだ。しかし現状では、名前が重複しているとフロセスのユーサーを正しく設定できなくなるので、すくなくとも /etc/passwd は名前か重複しないように変更する必要がある。名前が異なりさえす川まいいので、ドメイーンの Administrator を Administrator2 にする不呈度でもかまわない。もし修正が間に合えば、 Cygwin DLL 1.3.0 ではこの間題は解消されて、名前の重複が間題になるのは、 chown や chgrp でファイルの所有者やグループを変更するときだけになるはずだ。このときに重複している名前を使用すると、 /etc/{passwd,group} て最初にみつかったエント UNIX MAGAZINE 2001.6 図 9 アクセスが拒否されました ; ntsec の問題点ならなくなるはすだ。リの SID が用いられる。アクセスが拒否されました。 ~ $ ctrd /c start h•oge. txt 1 fujieda a ⅲ U ~ $ hoge. txt ~ $ echo hoge > hoge.txt ちらかを明示できるので、名前の重複はそれほど間題にはしかし、 uid か gid を使えばど 5 節「 15 10 : 51 hoge. txt ドを実行していたのは、こうなるのを防ぐためだ。 SheII- リプトで、ファイルに実彳限をケえてから start コマン第 4 回で紹介した start コマンドのためのシェル・スククセスカ甘巨否されました " と怒られてしまう ( 図 9 ) 。必要なので、実行権限のないファイルを指定すると、、、アてくれる。この API に指定するファイルには実行権限が張子に嬲里づけられたアプリケーションでファイルを開いァイルを指定すると、 ShellExecute API を使って、拡コマンドを使うときに困ることになる。このコマンドにフると、第 4 回 ( 3 月号 ) でとりあげた Windows の start しかし、調子に乗ってファイルの実行権限を落としてい行権限を chmod -x で落としてしまえばいい。ていくはすだ。それでも寺ちが悪ければ、ファイルの実レクトリからは、不要な実彳雀限の付いたファイルカ鰔っ ntsec を有効にしていれば、 Cygwin て利用しているディすべてのファイルを実行可能にするようなまねはしない。 ntsec を有効にした Cygwin のアフリケーションは、ルに実行権限がケえられているのは安寺ちが悪すぎる。はない。しかし UNIX の雀点でみると、すべてのファイは、 Windows NT / 2000 のイ兼なのでまったく不自然で NTFS 上に作成したファイルに実行権限が与えられるのァイルに実行権限が与・えられていることに気づくはずだ。 ntsec を有効にするとすぐに、 NTFS 上のすべてのフファイルの実行権限が気持ち悪いいう説もあるが・・自体が気持ちの悪いものだから、気にしても仕方がないとい現象がいろいろ起こることである。もっとも Cygwin ntsec の間題点は、これを有効にしていると気持ちの悪 119

7. UNIX MAGAZINE 2001年6月号

連載 /lnside Cygwin— 図 1 ntea によるアクセス権限のエミュレーぐ / ョン ' $ t けー foo; ヨ fco 1 fujieda U ~ $ 灯 + x f«x ヨ 1 fujieda 沼ⅲ U ~ $ export CYGWlNzntea ~ $ c} +X foo; f@ -rwxr-xr-x 1 fuj ieda Cbrnain U ~ $ ( ト町に d og - 「 fm; ヨ fco -rwx--x--x . 1 fuj ie D«nain U ~ $ & 町 u•s fm; fCX) 1 fujieda 〔旧 in U $ d + t fax { - 「お -- x - - 弋 1 fuj ieda [ ⅲ U 0 鮖「 0 「 0 Apr 0 「 0 「 0 「 6 16 : 08 foo 6 16 : 08 fco 6 16 : 08 fcox 6 16 : 08 ま 6 16 : 08 { * 6 16 : 08 fco まこれを避けるには、スタートメニューから bash を起動するためのバッチファイル (cygwin. bat) か、 Windows のシステム側、 0 羅竟変数を設定する必喫がある。前者の場合は、以下のように cygwin. bat を書き換えれはよい。 chdir *cygwin*bin SET CYGWIN=ntea bash ——login -i ←挿入後者の場合には、 Windows NT 4.0 なら、、コントローノレノヾネノレ " →、、システム " →、、環上竟変数 " で、 Windows 2000 なら、、コントロールノヾネル " →、、システム " →、、詳細 " →、、環境変数 " で、システムかューザーの環境変数とあくまでも見かけ倒しのⅡ tea して CYGWIN を設定すればよい。 UNIX MAGAZINE 2001.6 ファイルの atime か史新されることはなくなる。もう 1 を調べなくなる。このおかげで、 stat を実行するだけでの内容を返すので、ファイルの先頭のマジックナンバーある。 1 点は、 stat がファイルのモードとして拡張属性拡張属性を使う方式と従来の方式の違いは 2 点だけでフォルトのエミュレーション方式とまったく同じだ。と実行権限しかサポートされない仕様は、前回説明したデイルに所有者とグルーフ。の念がないことや、書込み権限いる。しかし、これはあくまでも見かけ倒しである。ファとは set user ID や sticky bit まで操作可能になって権限の追加すらできなかったのが、 ntea を有効にしたあで、残りは ntea を有効にして実行している。最初は実行図 1 では、最初の chmod は ntea を無効にした状態レーションされているかのようにみえる。ァイルのアクセス権限が UNIX とまったく同様にエミュのまま拡彊属性として保存する。そのため見すると、フ権限を含むファイルのモードを表すビットパターンを、そカ刻長属性を使ったエミュレーション方式では、アクセス占は、 access システムコールでファイルが読めるかどうかを検査したときに、ファイルの言ムみ権限を落としていると、、読めない " という結果か返ることである。ただしこれも見かけ倒しで、実際には読めてしまう。 FAT では使いものにならない ntea 拡張属性は Windows NT / 2000 でサポートされていると述べたが、実用上間題なく利用できるのは、ファイルシステムが NTFS の場合だけである。 FAT32 ではそもそも拡張属性を利用できず、 FAT では使えるもののかなり間題がある。 FAT て拡彊属性を使うと、属生を保存するために、、 EA DATA. SF" というファイルがルート・ディレクトリに作成される。このファイルは一度作成されると基本的に消すことができす、消すにはディスクをフォーマットするか、拡彊属性を理解しない OS を使う必要がある。さらに、のファイルには、才長生を利用し続けるとしだいに大きくなるという性質もある。 Cygwin ML では、 2GB の FAT?S—ティションの半分近くを、、 EA DATA. SF " に食われたうえに、消すに消せないという不幸な列も報告されている。もし、ハディスクに FAT のノ、一ティションがあるのなら、 ntea を有効にするのは絶対にやめたほうがいい。セキュリティ機構の利用 (ntsec) Cygwin DLL がファイルの所有者とグループの概念をサポートしないのは、どの Windows でも利用できる FAT ファイルシステムの仕様を引きずっているからだ。 NTFS であれば、ファイルごとに所有者とグループを設定できるし、アクセス権限もき田かく設定できる。 Cyg- win DLL は、 NTFS の機能を使ったアクセス権限の工ミュレーション方式もサホートしている。この方式は、環境変数 CYGWIN に、、 ntsec" を設定すると有効になる。見かけ倒しではない ntsec この方式によるアクセス権限のエミュレーションの例を図 2 に示す。 ntsec を有効にする前は、すべてのファイルの所有者が、、プロセスの所有者 " である僕 (fujieda) になっていたのが、 ntsec を有効にすると、本来の所有者とアクセス権限が反映されていることが分かる。 115

8. UNIX MAGAZINE 2001年6月号

連載 / ・ /lnside Cygwin— 図 15 所有権の獲彳許可 (Windows 2000 ) 図 14 ファイルの所有者を dareyasore に変更するオブジトーを名前新新新百丁 - ーアクセス許可 : フォルダの一覧 / データの読み取り属性の読み取り拡属性の読み取りファイルの作成 / データの書き込みフォルダの作成 / データの追加属性の書き込み拡張属性の書き込みサプフォルダとファイルの削除削除第アりセス許可の読み取り所有権の取得 - れらのアクセス = 午可を、この - , テナのこあるオプー上〔型里 - 」「彡ェクトやコンテ引このみ適用る m 国同ロ、 - OY n 日鑢 h S20 /tnv $ id ui&500(aåninistrator) gid : 513 ( なし ) s : 513 ( なし ) /tnp $ ls ヨ hoge 0 「 18 側 : 23 hoge 1 fujieda す in U /trtp $ れ「 eyaso 代 hoge /tnv $ ヨト e 0 「 18 00 : 23 記 1 「 aso [ 幟 in U /trro $ - ーションする気がないわけではない。そのためのコードは cygwin DLL に入っていて、たんに無効にしてあるだけだ。その理由は ntsec と samba の相生の悪さにある。前述したように、 ntsec は Samba 上のセキュリテイ記述子を正しく扱えないので、すべてのディレクトリに書込み権限がないと判断してしまう。そのため、さきのコードを有効にすると、 samba 上のファイル操作がはとんど Per- mission denied になってしまう。それではあまりにも不便なのて無効にしてあるのだ。もっとも、書込み権限や実行権限のないディレクトリの振舞いを Cygwin でエミュレーションしたとしても、それが通用するのは Cygwin のアプリケーションだけである。 Windows のアプリケーションが、書込み権限のないディレクトリのファイル名を変えたり、実行権限のないディレクトリのファイルを開いたりするのは防げないので、それはど意床があるとは思えない。所有者を自由に変更できちゃうんですけど僕はこれはむしろ利点だと思っているのだが、 ntsec を OK 有効にしていると、 Administrator でログオンしている所有者の変更というべージがあるが、自分以タ ) j 尺肢はときに、ファイルの所有者やグルーフを思いのままに変 Administrators グループしかなく、任意のユーザーに所更できてしまう。たとえは図 14 では、 chown て僕のフ有権を移せるわけではない ( 図 16 ) 。ァイルの所有者をユーサー dareyasore に変更している。 cygwin の chown が所有者を自山に変更できるのは、 UNIX の雀点でみれば、 root に相当する Administrator ファイルにセキュリテイ記述子を設定するときに、テーフがファイルの所有者やグループを自山に変更できても、なストレージからバックアッフをファイルシステムに書き戻んら不 . 義ではない。す API を使っているからだ。そのせいで、 NT 4.0 ではしかし、 Windows NT / 2000 には所有者を自山に変更 Administrator でなくても chown でファイルの戸斤有者するという念はない。できるのは、他人のファイルを自を自山に変更できてしまう。 Windows 2000 は所有者の分のものにする、、所有権の穫得 " だけだ。ーー搬のユーサー変更に制限を設けているらしく、 Administrator 権限のは、自分に対する許可の ACE がないと所有権は得できないユーサーか所有者を変えようとすると失敗する。ない ( 図 15 ) 。 Administrator に許されているは、許さすがに、誰でもファイルの所有者を変更できるのはお可のないファイルの所有権を得できることだけである。かしいので、 NT 4.0 でも Cygwin DLL て制限を加える Windows 2000 のアクセスコントロール・エデイタにはを 10 のアりセス制設定 OK 図 16 所有者の変更 (Windows 2000 ) アうせス許可ー監査所有者一このアイテムの現在の所有研 0 M ロト LAB 挙 d e 所有者の変更 0 : : 名奩 0 A 山れ s Ⅳ 5 ( リ M G2K 第 A 山 0 内 ) dm i 引偽を (UNIMAG2K* 自朝れ m ) UNIX MAGAZINE 2001.6 122

9. UNIX MAGAZINE 2001年6月号

lnside Cygwin 藤枝和宏 UNIX のアクセス権限のエミュレーションこの記事力階さんの目に触れるころには Cygwin DLL 1.3.0 がリリースされているはすだ。則回のバージョン 1.1.8 から、 1.2 を飛ひ越して 1.3.0 である。たしかに今回のバージョンには、Ⅵⅱ ndows のショートカットを使ったシンポリック・リンクの実装など、かなり大きな変更が含まれている。しかし、 1.3.0 というバージョン番号は、そんなこととはまったく関係のない理由で付けられている。このバージョン番号は 1.1.8 の開発中にすでに決まっていた。以前から噂のあった製品版の Cygwin 1.2 がリリースされそうだったので、 Cygwin 1.2 が出る前にさっさと 1.1.8 をリリースして、次を 1.3.0 にすることにしたためだ。だから、今回のバージョンアッフがバグフィックスだけだったとしても、バージョン番号は 1.3.0 になっていたはずだ。そうなったとしても、いまごろは Cygw ⅲ 1.2 が発売されていて、 1.3.0 というバージョン番号はユーサーに自然に受け入れられるはすだった。ところが、 Cygwin 1.2 の話は立ち消えてしまった。正確には、 Cygwin 1.2 を一殳ューザー向けにオンラインストアで売る話がなくなってしまった。 Cygwin 1.2 を入手するには、 GNUPro という GNU の開発ツールのサポート製品を Red Hat から購入するしかない。価格はもっとも安いもので 5 インシデントあたり 1 万ドルで、配布されるのは Cygwin DLL と開発ツールだけである。残念ながら、 1.2 は普通のユーサーには縁のないバージョンになってしまった。さて、前回説明した Cygwin DLL によるアクセス権限のエミュレーション方式には、ファイルに所有者とグはじめに 114 ループの念がない、書込別限と実行権限しか制御できない、 ls —F を実行するだけでファイルの atime か更新されるといった間題があった。今回はこれらの間題を解消できる、 Windows NT / 2000 に固有の機能を使った工ミュレーション方式である ntea と ntsec について説明しよう。 Windows NT / 2000 では、ファイルシステムのもつサイズや日該リなどの属性とは別に、アプリケーション固有の属性をファイルやディレクトリに付できる。これを拡張属性 (Extended Attributes) という。これはもともと OS/2 の機能で、 OS/2 との親和性を高めるために Windows NT に導入されたものである 1 。 Cygwin DLL は、拡彊属性を使ったアクセス権限のエミュレーション方式をサポートしており、環境変数 CYGWIN に、、 ntea" を設定するとこの方式か有効になる。竟変数 CYGWIN の設定方法ところで、環境変数 CYGWIN の設定を . bashrc などのシェルの設定ファイルでおこなうのは、トラブルのもとなのでやめたほうがいい。この環境変数の値が Cygwin DLL に読み込まれるのは、 Cygwin のアプリケーションの起重加で、それも main 関数か呼ばれる前である。シェルの設定ファイルはそのあとに読み込まれるので、工韆竟変数 CYGWIN を設疋してもシェル自身の Cygwin DLL には応央されない。 1 こク韋は、うプログラマー仕・一ト ) 』 (Greg Pascal zachary 著、山羊一一訳日経 BP 出版センター、 1994 を読むとう切、る。拡張属性を利用する (ntea) UNIX MAGAZINE 2001.6

10. UNIX MAGAZINE 2001年6月号

連載 /lnside Cygwin— 図 8 uid と gid の重複・ /etc/passwd /bin/sh Administrator: : 500 : 513 : ・ /etc/group , S ー 1 ー 5 ー 21 ー 2025429265 ー 1353024091 ー 682003330 ー 500 : /home/Administrator: /bin/sh Administrator: : 500 : 513 : , S ー 1 ー 5 ー 21 ー 1730945627 ー 1768298809 ー 2076119496 ー 500 : / home / Admi 取 istrato て : なし : S ー 1 ー 5 ー 21 ー 2025429265 ー 1353024091 ー 682003330 ー 513 : 513 : インのユーザーでログオンして以下のように実行すれはよ Domain Users : S ー 1 ー 5 ー 21 ー 1730945627 ー 1768298809 ー 2076119496 ー 513 : 513 : し ) $ mkpasswd ー 1 —g -d > /etc/passwd $ mkgroup ー 1 -d > /etc/group オフションの ) 仰にとくに意未はない。ションを指定しても、 mkpasswd は、 1. ローカルのグループ 2. ドメインのユーサー 3. ローカルのユーサーの順に、 mkgroup は、 1. ローカルの 4 幇朱グルーフ 2. ドメインのグルーフ 3. ローカルのグルーフどの順序でオフの順にエントリを生成する。この順序にどういう未があるのかは不明だ。なお、 /etc/passwd と /etc/group を変更したときには、 Cygwin のアプリケーションをすべて終了しないと結果か反映されないのて注意してほしい。理山は第 1 回で説明したとおり、最初に起動した Cygwin のアプリケーションが共有メモリにファイルの内容をキャッシュしていて、すべてのアプリケーションカ鮗了するまでその内容か破棄されないからである。名前と uid 、 gid を好みに合わせる ntsec を利用しているときには、ユーザーやグルーフを SID て識男けるので、 /etc/passwd や /etc/group の名前やⅲ d 、 gid のフィールドを変更してもかまわない。たとえは、 Administrator の名則を root に、 uid を 0 に 118 したけれは、 /etc/passwd の Administrator のエントリを以下のように書き換えてもよい。 .9496 ー 500 : : /bin/sh root: : 0 : 513 : , S ー 1 ー 5 ー 21 ー 1730. ただし書き換える際には、 uid か gid がほかのエントリとぶつからないようにしなけれはならない。上の例では、 root の uid を 0 にすると Everyone の uid とふつかる ( 図 5 の /etc/passwd 参照 ) 。これを避けるには、 Every- one の uid を変更するか、 Everyone 自体を削除する必要がある。原則として Administrators 以外のグループか所有者になることはないので、その他のグループを / etc /passwd から削除してもとくに間題はない。ドメインを利用する際の注意事項現状では、 mkpasswd と mkgroup に一 1 と—d の両方を指定して、ローカルのアカウントとドメインのアカウントのエントリを生成すると、かならす名前や uid/gid がふつかってしまう。重複している uid や gid を変更する mkpasswd と mkgroup が uid と gid として用いている相対識別子 (RID) は、 SID の発行元について一意な数字なので、ローカルの SID とドメインの SID で RID がぶつかることがある。たとえは、 Administrator の RID はローカルとドメインのいすれも 500 である。グルーフか設定されていないことを示すローカルのグループ、、なし " と、ドメインのューサーがかならす所属するグルーフ Domain Users の RID も両方とも 513 である。結果として、 /etc/passwd で 2 つの Administrator の uid が、 /etc/group で、、なし " と Domain Users の gid か重複することになる ( 図 8 ) 。 UNIX MAGAZINE 2001.6