Path: sranha!katsu
From: katsu@sra.co.jp (WATANABE Katsuhiro)
Message-ID: <KATSU.91Jun4173400@sran14.sra.co.jp>
Date: 4 Jun 91 17:34:00
Organization: Software Research Associates, Inc.,Japan
In-reply-to: takagi@isr.recruit.co.jp's message of 31 May 91 05:01:25 GMT
Newsgroups: fj.questions.unix
Subject: Re: whatis Preposterous user id
Distribution: fj
References: <1047@t-gitan.t-gitan.AC.JP> <668@isrgwy.isr.recruit.co.jp>

記事 <1047@t-gitan.t-gitan.AC.JP> で
matznaga@martin.t-gitan.ac.jp (Matznaga martin Hitoshi) さんいはく

> 毎晩、crontab から *‾ や #* といったファイルを消しているのですが、
> ここ数日
> 
> Preposterous user id, 65534: ignored
> 
> というメッセージがやたらに（２０００以上）でます。

> マシンは sun4/330  ＯＳ は 4.0.3 です。

　メッセージが出るのはいつですか？ファイルを消した時にすぐメッセージが
出るのですか？もしかして、毎日 sa -s でアカウント情報を要約する時に
出ているのでは？

　Sun OS はアカウントの仕組みが違うはずなので自信がないのですが、
BSD 系の OS の場合は、sa(8) が Preposterous .... を出すことがあります。
　sa -s とすると /usr/adm/acct を要約することができますが、この時に
password ファイルにない uid で実行されたコマンドや、負（32767 を
越えるという意味）の uid で実行されたコマンドを見つけると、
Preposterous .... という警告を出します。（/etc/passwd の設定によっては
出ないこともあります。問題となっているシステムでは、nobody の uid が
65534 ではなく -2 なのではないかと推測してます。）

一方記事 <668@isrgwy.isr.recruit.co.jp> で
takagi@isr.recruit.co.jp (Shigeyuki Takagi) さんいはく

> だまってｃｒｏｎｔａｂに設定するとｒｏｏｔで走りますけど、
> ＮＦＳでマウントした先に対してのアクセスはｎｏｂｏｄｙになりますよね。
> 
> で、マウントした先に２０００以上もこういうファイルが残っているのでは？

　これはどうも違うような気がします。

　まず、こちらがわで root で走っているプロセスがマウント「先」を
参照した場合、確かに遠隔側の NFS server は nobody の権限で参照を
行なおうとしますが、こちらがわのプロセスの権限はあくまで root です。
そもそもこちら側のプロセスは、遠隔側の server がどんな権限で
処理をしているのかわからないと思います。

　ついでながら逆を考えて、こちらのファイルシステムを機械 X が
NFS mount していて、X が root の権限でこちらのファイルシステムを
参照してきたために nobody の権限で処理が行なわれたとしても、
/usr/adm/acct に記録が残ることはありません。なぜならば、記録が残るのは
プロセスが終了した時のみですが、NFS サーバーは要求を処理するために
いちいち新しいプロセスを起こしたりはしないからです。
　つまりこの場合も、少なくとも sa は、警告を出すことはありません。


　松永さんの問題に戻ります。
　/usr/adm/acct の内容は lastcomm(1) で参照できますので、
lastcomm の出力を見て、実際に実行されているコマンドが何なのかを
調べれば原因はすぐわかるような気がします。（この時、passwd の中に
nobody 以外にも uid={65534,-2} であるようなエントリがあると、
ユーザー名が nobody と出ないこともあるので注意が必要です。）

　その結果例えば rm が大量に実行されているのなら、crontab の
設定誤りなどで finger ... -exec rm ... みたいなのが nobody の権限で
実行されていることが考えられるでしょう。
　しかし、案外 fingerd だったりしませんか？

--
----____----____
渡邊克宏　ＳＲＡソフトウェア工学研究所