システムのパーミッションを大幅に狂わせてしまった時
事故が起こるのは常に一瞬であり、一方平穏を取りもどすのはとても難しい
後輩が公開Subversionリポジトリを研究室のサーバに作っていたが、聞けば/root/SVNに作ったという。いやいや、/rootは700でしょうと俺は諭して議論の結果/var/svnとかが適切だけども容量の関係で他の場所に移動することになった。さて、問題は/rootのパーミッションを元に戻さねばならない。簡単、朝飯前である。
/root# chmod -R go-rwx * ls -la /root
いかん、隠しファイルどもが残ってしまった。やり直し、やり直し。
/root# chmod -R go-rwx .*
これにて一件落着…にしては終わるのが遅すぎる。そして、permission deniedとか言っている。いや、そんなややこしい話じゃないんじゃ?そして、そのログを見てみると/proc/なんちゃらとか書いてあった。
修復が簡単そうに見えたとしても実際の手間はその何倍にもなる
うわー、やってもたわー、と言う感じである。つまり、.*と書いてしまうと、..が入ってしまってルートから全部chmodしてしまうことになったわけである。ちなみにもしZshを使っていたら.*と入力したところで<Tab>を入力するとグロブパターンがその場で展開されるのでこういう時も「あれ、..が入っている」とか気付けるので安心である。rootでZshとか見たことないけどな。なにはともあれ急いでC-cで止めて現状確認を行う。
#ls -l / 合計 84 drwx------ 2 root root 4096 2012-xx-xx 11:47 bin/ drwx------ 4 root root 4096 2012-xx-xx 19:00 boot/ drwxr-xr-x 18 root root 3340 2013-xx-xx 17:52 dev/ drwxr-xr-x 92 root root 4096 2013-xx-xx 18:06 etc/ drwx------ 22 root root 4096 2012-xx-xx 11:03 home/ lrwxrwxrwx 1 root root 30 2012-xx-xx 16:50 initrd.img -> boot/initrd.img-2.6.32-5-amd64 drwx------ 11 root root 12288 2012-xx-xx 18:59 lib/ lrwxrwxrwx 1 root root 4 2012-xx-xx 16:41 lib64 -> /lib/ drwx------ 2 root root 16384 2012-xx-xx 16:39 lost+found/ drwx------ 3 root root 4096 2012-xx-xx 16:40 media/ drwx------ 3 root root 4096 2012-xx-xx 16:34 mnt/ drwx------ 4 root root 4096 2013-xx-xx 17:16 opt/ dr-x------ 139 root root 0 2013-xx-xx 17:51 proc/ drwx------ 7 root root 4096 2013-xx-xx 18:20 root/ drwx------ 2 root root 4096 2012-xx-xx 19:00 sbin/ drwx------ 2 root root 4096 2010-xx-xx 15:30 selinux/ drwxr-xr-x 2 root root 4096 2012-xx-xx 16:41 srv/ drwxr-xr-x 13 root root 0 2013-xx-xx 17:51 sys/ drwxrwxrwt 5 root root 4096 2013-xx-xx 19:20 tmp/ drwx------ 10 root root 4096 2012-xx-xx 16:41 usr/ drwxr-xr-x 16 root root 4096 2012-xx-xx 15:52 var/ lrwxrwxrwx 1 root root 27 2012-xx-xx 16:50 vmlinuz -> boot/vmlinuz-2.6.32-5-amd64
清々しいまでに700になっている。ただし、いくつか幸いなことがあった。
- chmod 700とかではなくgoからrwxを消しただけなのでsuid,gid,stickyという一番厄介でイレギュラーなビットは全て保存されている。*1
- これまた厄介な/etcと/varは手付かずだった。*2
というわけでまずは二次災害を防ぐために深呼吸三回してから作業にとりかかる。具体的には簡単なディレクトリでは次のようにして済ませた。
find /opt/hoge/ -perm u=rw -exec chmod go+r {} + find /opt/hoge/ -perm u=rwx -exec chmod go+rx {} +
大体のファイルは644か755になっている訳で、だいたいこれでうまく行く。ただし、
- 一部のファイルでは600や700が要求されることがある。
- suid,sgid,stickyが付いていると-permの条件を満たさないのでこれで変更されない。
ことには留意されたい。なんにせよ、単純な場所以外でこういうことをして傷口を広げるのはおすすめできないので一度-printして自分のマシンと見比べるなどするのがいい。
/proc以下に関しては所詮カーネルの見せる幻影であり、真面目に直してもむなしいだけなのでこれは再起動一発で直すことにする。で、再起動した後あっさり終わることを祈りつつ以下を試した。
xe@localmachine$ ssh hogeserver Permission denied (publickey).
…何かpermissionを直し忘れているだろうか?
root@hogeserver# ssh localhost Permission denied (publickey).
鍵のパーミッションなどを確認しても問題はないはず。SSH固有の問題を疑い、とりあえずローカルで調べることにする。とはいえサーバ機なので自分のパスワードはなく、suしてみることにする。
root@hogeserver# su - xe cd: can't cd to /home/xe
いや、そんなはずは…/home/xeに行けないのが駄目ならcdしなければいいじゃない。
root@hogeserver# su xe Cannot execute /bin/bash: Permission denied
完全に詰みました。
盲点は気づかないから盲点と呼ばれる
このあとdpkg -L openssh-serverの結果のパーミッションを全部確認してみたり、strace su xeしてみたり涙ぐましい努力をしてみたのですが、駄目。
で、rootでログインできなくなったらどうしよう…と思いつつもエイヤで再起動、rootログインはできるものの上の3つは相変わらず駄目。そして、このまま格闘しても全く分かる気がしなかったので藁にもすがる思いで"Cannot execute /bin/bash: Permission denied"をググることにした。そして、Cannot execute /bin/bash: Permission denied | 作業日報を開いた私は驚愕の事実を目の当たりにするのであった。
そう、 / のパーミッションが間違っているのである。いやー、これは盲点だわー、ls -l --color /してたけど/は見えないもんなー。という事でこれを直したら無事に全てが動いた。