db2haodb
作者db2haodb2015-08-07 00:12
数据库开发工程师, IGI

aix中crontab相关

字数 8090阅读 2149评论 0赞 1
aix中crontab相关

一、crontab 本地权限提升漏洞

二、crontab 命令使用

三、P570 crontab 不运行

四、Crontab 和HACMP 切换问题?

五、[AIX]为何crontab会提前一小时执行命令?

 

 

一、crontab 本地权限提升漏洞

 

BUGTRAQ  ID: 26263

CVE(CAN) ID: CVE-2007-4621

IBM AIX是一款商业性质的UNIX操作系统

IBM AIX的crontab程序的主函数中存在缓冲区溢出漏洞,本地攻击者可能利用此漏洞提升权限。

在处理命令行参数时,crontab程序未经执行边界检查便将用户提供的参数拷贝到了固定大小的BSS缓冲区,因此攻击者可以覆盖BSS内存区域中所存储的大部分数据,导致以root权限执行任意指令。

<*来源:iDEFENSE
  
  链接:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=612

*>

临时解决方法:

* 删除crontab程序的set-uid位。

厂商补丁:

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页
下载

ftp://aix.software.ibm.com/aix/efixes/security/crontab_ifix.tar

http://www.ibm.com/support/docview.wss?uid=isg1IZ04832

 

 

 

二、crontab 命令使用

用途

提交、编辑、列出或除去 cron 作业。

语法

crontab [ -e [UserName] | -l [UserName] | -r [UserName] | -v [UserName] | File ]

 

描述

这个 crontab 命令提交、编辑、列出或除去 cron 作业。一个 cron 作业是一个命令,其运行是由 cron 守护进程在规则的调度间隔执行的。要提交一个 cron 作业,指定 crontab 命令用 -e 标志。crontab 命令调用一个编辑会话,允许创建一个 crontab 文件。在这个文件中,为每个 cron 创建条目。每个条目必须是一种 cron 守护进程可接受的格式。要得到创建条目的信息,参阅 crontab 文件条目格式。

当创建完条目和退出文件后,crontab 命令将它拷贝到 /var/spool/cron/crontabs 目录,并把它放到一个文件中,此文件的名称是当前的用户名。如果以用户名命名的文件已存在于 crontabs 目录中,crontab 命令会覆盖它。

同样的,可以通过指定文件参数创建 crontab 文件。如果此文件已经存在,格式必须是 cron 守护进程所需要的。如果文件不存在,crontab 命令就调用编辑器。如果 EDITOR 环境变量存在,此命令就调用它指定的编辑器。否则,crontab 命令调用 vi 编辑器。

要列出 crontab 文件的内容,就指定 crontab 命令并采用 -l 标志。要除去存在的文件,采用 -r 标志。

可选的 UserName 参数可被 crontab 文件的所有者或者 root 用户来使用,为指定的用户编辑、列出、除去或验证 cron 作业的状态。如果 UserName 是无效的,就会产生错误消息并退出程序。

如果可选的 UserName 参数没有被指定,这个crontab 标志对于 root 用户和当前用户可用。

 

安全性

只有 root 用户和 crontab 文件的所有者可以在 -e、-l、-r 和 -v 标志后面使用 UserName 以编辑、列出、除去或验证指定用户的 crontab 文件。

 

cron 守护进程

这个 cron 守护进程运行的命令和 crontab 文件条目是相对应的。如果不重新定向 cron 作业的输出为标准输出或标准错误,cron 守护进程就会通过电子邮件告知您任何命令输出或错误。如果在 crontab 文件中指定了不正确的 cron 作业,这个cron 守护进程不运行这个作业。

cron 守护进程只在 cron 守护进程被初始化时检查 crontab 文件。当用 crontab 命令改变 crontab 文件时,指示变化的消息被发送到 cron 守护进程。这消除了在规则的调度间隔检查新的或改变的文件的开销。

 

控制使用 crontab 命令

/var/adm/cron/cron.allow 和 /var/adm/cron/cron.deny 文件控制哪一个用户可以使用 crontab 命令。root 用户可以创建、编辑或删除这些文件。这些文件的条目是用户登录名称,每个名称占一行。如果登录标识和多个的登录名称相关联,这个crontab 命令采用第一个在 /etc/passwd 文件中的登录名称,而不管当前实际使用哪一个登录名称。而且,要允许用户启动 cron 作业,应该使用 chuser 命令将 /etc/security/user 文件中的守护进程属性设置为 TRUE。

以下关于 cron.allow 文件的一个示例:

root

nick

dee

sarah如果 cron.allow 文件存在,只有在文件中出现其登录名称的用户可以使用 crontab 命令。root 用户的登录名必须出现在 cron.allow 文件中,如果这个文件存在的话。系统管理员可以明确的停止一个用户,通过使用 crontab 命令,同时在cron.deny 文件中列出用户的登录名。如果只有 cron.deny 文件存在,任一名称没有出现在这个文件中的用户可以使用 crontab 命令。

如果以下一个条件成立,用户将不能使用 crontab 命令:

cron.allow 文件和 cron.deny 文件不存在(只允许 root 用户)。

cron.allow 文件存在,但用户的登录名并不列在其中。

cron.deny 文件存在,并且用户的登录名列在其中。

如果 cron.allow 和 cron.deny 文件都不存在,只有被 root 用户授权的人可以用 crontab 命令提交一个作业。

crontab 文件条目格式

一个 crontab 文件包含每个 cron 作业的条目。条目由换行字符分开。每个 crontab 文件条目包括 6 个字段,它们被空格或制表符以以下格式分开:

 

minute  hour  day_of_month  month  weekday  command这些字段接收以下值:

minute 0 到 59

hour 0 到 23

day_of_month 1 到 31

month 1 到 12

weekday 0 到 6(星期天到星期六)

command shell 命令

必须为每个字段指定一个值。除了 command 字段,这些字段可以包含以下内容:

指定范围内的一个数。要在 5 月运行一个命令,在 月 字段指定 5。

两个被破折号分开的数目表明了包含的范围。要从星期二到星期五运行 cron 作业,把 2-5 放到 weekday 字段中。

由逗号隔开的数字列表。要在一月第一天和最后一天的运行命令,在日_of_月 字段中可指定 1,31。

* (星号),意味着所有的允许值。要每个小时运行一个作业,在小时字段指定一个星号。

注: 任一字符前如有一个反斜杠符号(包括 %)会引起字符被字面上的处理。天的规范是由两个字段(月的天和星期的天)组成的。如果指定两者都为元素的一个列表,这两个字段均被包含在其中。例如,如下条目:

0 0 1,15 * 1 command将在每个月的第一天和第十五天运行 command,还有每个星期一。要仅在一个字段中指定天,另一字段应包含 * 。

指定命令

这个 cron 守护进程运行命名于所选日期和时间的第六个字段中的字段。如果包含一个 % (百分号)在第六字段,cron 守护进程像命令调用一样处理所有的任务,并使所有的后续任务在标准输入上可用,除非转义百分号 (%)。空行和第一个非空字符是编号标记(#)将被忽略。如果命令含有反斜杠 () 的参数,反斜杠前应加另一个反斜杠。

注:

shell 只运行该命令字段的第一行。所有其它的行作为标准的输入对于命令可用。

cron 守护进程从 HOME 目录中启动一个子 shell。如果调度一个命令运行,这时您尚未登录,并且希望在.profile 文件中的命令运行,这个命令必须明确的读取您的 .profile 文件。

cron 守护进程为每个 shell 提供了一个缺省的环境,定义了 HOME, LOGNAME, SHELL (=/usr/bin/sh) 和 PATH (=/usr/bin)。

标志

-e UserName 编辑用户的 crontab 文件的拷贝,或者,如果一个有效的 UserName 的 crontab 文件不存在则创建一个空的文件进行编辑。当编辑完成后,文件被拷贝到 crontab 目录作为用户的crontab 文件。

-l UserName 列出用户的 crontab 文件。

-r UserName 从 crontab 目录除去用户的 crontab 文件。

-v UserName 列出用户 cron 作业的状态。

安全性

审计事件:如果审计子系统已经被正确的配置和启用,crontab 守护进程就会当每次执行命令时产生以下审计记录(或事件):

事件 信息

CRON_JobRemove 列出哪一个用户除去了 cron 作业和除去的时间。

CRON_JobAdd 列出哪一个用户添加了 cron 作业和添加的时间。

安全性

审计事件:如果审计子系统已经被正确的配置和启用,crontab 守护进程就会当每次执行命令时产生以下审计记录(或事件):

事件 信息

CRON_JobRemove 列出哪一个用户除去了 cron 作业和除去的时间。

CRON_JobAdd 列出哪一个用户添加了 cron 作业和添加的时间。

请参阅《AIX 5L V5.2 安全指南》中的『设置审计』以获取关于如何适当地选择和分组审计事件及如何配置审计事件数据集合的详细信息。

退出状态

此命令返回以下退出值:

0 成功完成。

>0 发生错误。

 

示例

拷贝一个名为 mycronjobs 的文件,到 /var/admn/cron/crontabs 目录下,输入以下内容:

crontab mycronjobs将时间以小时的形式把每个小时写到 console 中,输入:

0 * * * * echo The hour is `date` 。

>/dev/console要在每个星期一、星期三和星期五的 6:30 a.m. 运行 calendar 命令,输入:

30 6 * * 1,3,5 /usr/bin/calendar要在一年的每一天的 6:30 运行 calendar 命令,输入:

30 6 * * * /usr/bin/calendar要在八月的每天午夜运行一个称为 maintenance 的脚本,输入:

0 0 * 8 * /u/harry/bin/maintenance为命令的标准输入定义文本,输入:

0 16 * 12 5 /usr/sbin/wall%HAPPY HOLIDAY!%Remember to

turn in your time card.在 %(百分号)之后定义 wall 命令的标准输入的文本:

HAPPY HOLIDAY!

 

Remember to turn in your time card.文件

/var/adm/cron/FIFO 当新的作业的提交是由 crontab 或 at 命令完成时,一个发送消息到 cron 守护进程的命名管道。

/var/spool/cron/crontabs 指定 crontab 缓冲池区域。

/var/adm/cron/cron.allow 指定用户列表,这些用户被允许访问 crontab 命令。

/var/adm/cron/cron.deny 指定用户列表,这些用户不被允许访问 crontab 命令。

 

三、P570 crontab 不运行

查看/var/adm/cron/log 文件,里面报错信息如下:

# tail log
! 0481-095 The cron job is being rescheduled.
Fri Mar 2 09:22:00 BEIST 2007
! cron: 0481-087 The c queue maximum run limit has been reached.
Fri Mar 2 09:22:00 BEIST 2007
! 0481-095 The cron job is being rescheduled.
Fri Mar 2 09:22:00 BEIST 2007
! cron: 0481-087 The c queue maximum run limit has been reached.
Fri Mar 2 09:22:00 BEIST 2007
! 0481-095 The cron job is being rescheduled.
Fri Mar 2 09:22:00 BEIST 2007
! cron: 0481-087 The c queue maximum run limit has been reached.
Fri Mar 2 09:22:00 BEIST 2007
! 0481-095 The cron job is being rescheduled.
Fri Mar 2 09:22:00 BEIST 2007
! cron: 0481-087 The c queue maximum run limit has been reached.
Fri Mar 2 09:22:00 BEIST 2007
! 0481-095 The cron job is being rescheduled.
Fri Mar 2 09:22:00 BEIST 2007
! cron: 0481-087 The c queue maximum run limit has been reached.
Fri Mar 2 09:22:00 BEIST 2007
! 0481-095 The cron job is being rescheduled.
Fri Mar 2 09:22:00 BEIST 2007

问题原因:

crontab 没有定时执行是因为“! cron: 0481-087 The c queue maximum run limit has been reached.”。
修改/var/adm/cron/queuedefs 文件。在里面加上这样一句:"c.200j20n60w",然后kill PID,其中PID为cron进程号,新的cron设置就会生效。Maximum number of jobs in the queue by default was 50. The errorc messages 0481-087, 0481-095 usually appears when this max. number
is reached. So you can increase the maximum number of jobs in /var/adm/cron/queuedefs , vi the queuedefs file and change
the b to c and the 50 to 200. by including this entry"c.200j20n60w" in the file. After making the changes to the file, killcron and it will respawn again with the new settings.

解决方法:

#
#
# here is an example of a low prority (nice 20), 50 entry batch queue
# b.50j20n60w
c.1000j2n60w

在/var/adm/cron/queuedefs/queuedefs加以C队列为1000就可以了。

ps -ef|grep cron

kill -9 con服务的进程号

cron的服务会自动重启,问题解决。

四、Crontab 和HACMP 切换问题?

环境:AIX53,HACMP 5.2,
A、B两台主机,有部分应用程序是通过用户crontab中的语句运行。

目的:HACMP切换时,A机的用户crontab中运行的应用程序也要被B机接管

问题:
1. 做手动切换测试的时候,A机先停用户crontab,再做HACMP takeover,停crontab的时候用什么方法比较稳妥?
2. B机怎么才能实现接管A机用户crontab中运行的应用程序?

两边crontab配置一样,不过crontab的application脚本家一个判断语句就好了

你的关键问题是设法先在A机上能正常kill应用。

以下是随HA切换自动修改crontab的办法,可加入HA脚本中。假定是以user1的名义使用crontab。

事先保存好crontab:

crontab -l user1 > /xxx/testcron  【/xxx最好在共享盘上】

启用cronttab【接管】:

su - user1 -c crontab /xxx/testcron

停用cronttab:

su - user1 -c crontab -r

stop应用的脚本

 

测试了一下,有点问题

脚本1:

crontab -l user1 > /xxx/user1_bak.cron

crontab -l user2 > /xxx/user2_bak.cron

su - user1 -c crontab -r

exit

su - user2 -c crontab -r

exit

执行以后,user2的crontab清不掉

脚本2:

crontab -l user1 > /xxx/user1_bak.cron

crontab -l user2 > /xxx/user2_bak.cron

su - user1 -c crontab -r

su - user2 -c crontab -r

执行以后也是user2的清不掉

单独执行user2的语句没有问题。

crontab -l user1 > /xxx/user1_bak.cron

crontab -l user2 > /xxx/user2_bak.cron

su - user1 -c crontab -r &

su - user2 -c crontab -r

 

不过还有个问题,我要是直接删/var/spool/cron/crontabs 对应用户的文件,可以么?

直接删文件的话,cron进程不刷新。

 

五、[AIX]为何crontab会提前一小时执行命令?

大概与机器的时间设置有关(时区,夏时制等),在Aix中调整完时区必须Reboot。新到的主机(如果预装操作系统,必须修改时区)。仔细查查,即可解决!

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

1

添加新评论0 条评论

Ctrl+Enter 发表

作者其他文章

X社区推广