cles::blog

先日の CentOS の開発方針変更 については大きな騒ぎになっているわけですが、現在の CentOS と同じリリース方針を目指す Rocky Linux というプロジェクトがスタートしたようです。

• Rocky Linux
• rocky-linux/rocky: Rocky Linux is a community enterprise Operating System designed to be 100% bug-for-bug compatible with Enterprise Linux created in response to the effective discontinuation of CentOS.

Rocky という名前は CentOS の共同創始者の名前にちなんでいるんですね。
共同創始者がプロジェクトをフォークして元の姿を目指すというのは MySQL と MariaDB の関係^*1を思い出しますね。

CentOSのオリジナル共同開発者が「Rocky Linux」を開始、CentOS Linuxの後継目指す | OSDN Magazine

Rocky Linuxはコミュニティ主導のエンタープライズ向けOS。Red Hat Enterprise Linux（RHEL）とバグまで含む互換性を目指す。CentOSの開発打ち切りを受けて、CenOSのオリジナルを共同開発したGregory Kurtzer氏が立ち上げた。Rockyという名称は、Kurtzer氏とともにCentOSを開発したRocky McGaugh氏に対する感謝の気持ちを込めたという。

• ^*1: Search - cles::blog

CentOS が開発方針を変更して CentOS 8 を来年終了することを発表していたのでめも。
原文は「CentOS Project shifts focus to CentOS Stream – Blog.CentOS.org」ですね。

プライベートなサーバであれば CentOS 8 Stream でも「まぁいいか」という感じですが、CentOS を純粋な RHEL クローンであると考えていた人にとっては痛い方針転換ですね。
RHEL は中身が古すぎるという話もありますが、あれこれ変わりすぎると Fedora と変わらないのでそれはそれで困るんですよね。

CentOSが開発方針を変更ーー「CentOS 8」は2021年終了、今後は「CentOS Stream」に注力 | OSDN Magazine

　The CentOS Projectは12月8日、Linuxディストリビューション「CentOS」の開発方針の変更を発表した。「Red Hat Enterprise Linux（RHEL）」互換の「CentOS Linux」からフォーカスを「CentOS Stream」に移すという。「CentOS Linux 8」は2021年に終了するとしている。

CentOS 6 のサポート期限である 2020/11/30 に終了^*1が迫ってきました。
サーバになっている場合が多いと思うので、今のうちにもう一度自分の環境を確認しておきましょう。

• ^*1: About/Product - CentOS Wiki

先日からの bash の脆弱性は "shellshock" と呼ばれるようになったようです。
今日情報を改めて確認してみると、ちょっとずつアップデートがあるようなのでメモ。

• GNU bash の脆弱性に関する注意喚起
• JVNVU#97219505: GNU Bash に OS コマンドインジェクションの脆弱性

先日までは CVE-2014-6271, CVE-2014-7169 の話でしたが、いつの間にか CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278 の4つが追加されてます。 CVE のサイトだと今のところ RESERVED になっているだけで、詳細は出てこないですね。JPCERT/CC のドキュメントを見ると想定される影響が「不明」と書かれていたりとちょっと分かりづらいです。ただ、CentOS が配布しているバージョンではすべてが防げる状態ではあるようです。

詳細は RedHat の bugzilla のこのあたりが参考になるんでしょうかね。
ちょっと添付されているパッチを読む時間もないのですが。

• Bug 1146791 – CVE-2014-7186 bash: parser can allow out-of-bounds memory access while handling redir_stack
• Bug 1146804 – CVE-2014-7187 bash: off-by-one error in deeply nested flow control constructs
• Bug 1147189 – CVE-2014-6277 bash: untrusted pointer use issue leading to code execution
• Bug 1147414 – CVE-2014-6278 bash: code execution via specially crafted environment variables

久しぶりに PHP でちょっとしたウェブアプリを書いたのですが、どうやっても DB に繋がらないので困ってしまいました。
しばらく考え込んでしまいましたが、SELinux が有効化したままだったことを思い出したので、DB への許可属性を追加してみました。

以前、試したように audit2allow を使う方法もありますが、audit2allow で調べてみたところ httpd_can_network_connect を使うことができるよ！という表示が出てきたので、setsebool を使って httpd_can_network_connect を有効化してみました。不思議な感じもしますが、 PHP -> DB 接続も考えてみたら httpd からのネットワーク接続に入るんですよね。

今度からは何か不思議な現象が起きたときは /var/log/audit/audit.log もチェックするのを忘れないようにしたいと思います。

昨日から OpenSSL の Heartbleed Bug が騒ぎになっています。
この脆弱性は秘密鍵を盗まれる可能性がある深刻なもの^*1*2なもののようです。

TLS heartbeat read overrun (CVE-2014-0160) OpenSSL Security Advisory [07 Apr 2014]

A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.
Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.

詳細については NVD や JVN 、JPCERT/CC などのアドバイザリにまとまっているので一読しておいた方がよいでしょう。

• National Vulnerability Database (NVD) National Vulnerability Database (CVE-2014-0160)
• JVNVU#94401838: OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
• OpenSSL の脆弱性に関する注意喚起

以下、個人用の作業メモ。

• ^*1: [ビデオ]OpenSSLのバグ“Heartbleed”ってどんなの？ | TechCrunch Japan
• ^*2: 該当する場合はアップデートとサーバー証明書の再発行を：OpenSSL 1.0.1／1.0.2系に脆弱性、秘密鍵漏えいの恐れも - ＠IT

CentOS 向けの init スクリプトはこれまで何度も書く機会があったのですが、書き方を調べるのが面倒なので、これまではいつも適当なやつをコピペして適当に作って済ませていました。yum でインストールされるパッケージに含まれる init script はどれもフォーマットがだいたい統一されているので、どこかにひな形があって、きちんとした作り方が存在するんだろうということは十分予想できましたが、一度もちゃんとした作り方を調べたことがありませんでした。

今日こそはちゃんとした作り方を調べようと思って、試しにマシン上で locate initscript としてみたら/usr/share/doc/initscripts-9.03.40/sysvinitfiles にそれらしきものがヒットしたので中身を覗いてみたらこれがビンゴ。これを読むと /etc/init.d/functions の中の例えば daemon 関数の使い方とか、スクリプト冒頭部分にある # chkconfig: タグの意味とかちゃんと書いてありますね。

今後、起動スクリプトを書く際にはこれからはこれを利用させてもらおうと思います。

RHEL( Red Hat Enterprise Linux ) のフリーなクローンとして人気がある CentOS に対して、本家の RedHat が支援に乗り出すことになりました。クローンが公式に取り込まれるという予想外の展開にちょっと驚きですが、ユーザーとしてはこれでディストリビューションの継続性を心配しなくて良くなるのは大きいですね。2009年8月に発生した CentOS のプロジェクトの継続の危機の時は本当に困りました。

米Red HatがCentOS Projectに出資、RHELクローンの「CentOS」がRed Hatの正式プロジェクトに | SourceForge.JP Magazine

米Red HatとCentOS Projectは1月7日（米国時間）、CentOS ProjectをRed Hatの支援プロジェクトとして傘下に収めることを発表した。Red Hat Enterprise Linux（RHEL）と互換性を持つ「CentOS」を本家のRed Hatが技術的、経済的に支援することで、プロジェクトの安定性と発展を加速するとしている。
CentOS Projectは2004年にスタートしたプロジェクト。RHELとの完全互換を目指し、Red Hatが公開するコードをベースに、商標や商用パッケージを除去したLinuxディストリビューションを開発する。ライセンスはGPL。

† 公式アナウンス

• [CentOS-announce] CentOS Project joins forces with Red Hat
• Red Hat | Red Hat and the CentOS Project Join Forces to Speed Open Source Innovation

† 2013/01/15 追記

日本語の FAQ も出ていました。

• Red Hat + CentOS FAQ

先日 bash で簡易なテストドライバを書いたのですが、プログラムの出来が悪いと永久ループしたりりすることがあるので、コマンドの１回の実行にに時間制限をつけて永久ループをするようなプログラムでも安全にテストできるようにしてみました。この時間制限は所謂、タイムアウトというやつなので、試しにコマンドラインで timeout と打ってみたら使えそうなコマンドが見つかりました。

CentOS 6.x の場合には coreutils の一部としてインストールされるようですね。
使い方は timeout 5 sleep 10 のように timeout （タイムアウト値） (コマンド) となるようにすればいいので簡単ですね。

CentOS 上で Simple Repeater `stone' をビルドしようとしたらエラーが出てしまって、そのままの状態ではビルドできなかったので、解決方法をメモ。

StoneをLinuxでビルドする - Pieces of Thoughts を参考に Makefile に -D_GNU_SOURCE を追加するだけで OK でした。

$ diff -u Makefile{.org,}

† 参考

Feature Test Macros - The GNU C Library

— Macro: _GNU_SOURCE
If you define this macro, everything is included: ISO C89, ISO C99, POSIX.1, POSIX.2, BSD, SVID, X/Open, LFS, and GNU extensions. In the cases where POSIX.1 conflicts with BSD, the POSIX definitions take precedence.