FreeBSD localeデータベースの更新は310.locateを使う

ファイル検索のためのlocale(1)データベースをよく利用します。
このデータベースの更新は、cronジョブによって自動的に
行われます。しかしながら、cronジョブが実行される時間に
サーバが起動していなかったり、マシンにＯＳを入れたすぐの
状態といった場合には、locale(1)のデータベースが作成されていません。
また、今すぐ更新したいとき、などがあります。

そういうときには、locale(1)のデータベースの更新を手動で実行する
わけですが、 locale(1)データベースを更新するために locale.updatedb
コマンドを直接使うと下記のようなエラーメッセージが表示されます。

% sudo /usr/libexec/locate.updatedb
>>> WARNING
>>> Executing updatedb as root.  This WILL reveal all filenames
>>> on your machine to all login users, which is a security risk.

rootユーザで updatedb を実行してます。
これは、すべてのログインユーザにすべてのファイル名を見ることが
可能になってしまいます。これは、セキュリティリスクです。

と言っています。rootユーザでアクセスできるところのすべての
ファイル名がlocale(1)データベースに格納されてしまうため、
本来見えないはずのユーザにもファイル名が公開されてしまうという
ことが発生してしまうので、セキュリティ上、好ましくありませんよ
ということです。

じゃあ、どうすればいいのよ、ということになりますが、
元々、 locale(1)データベースは、periodic の下のスクリプトが
cronによって実行されます。つまり、cronが実行してくれる
locate(1)データベースの更新スクリプトを利用すればいいのです。
locate(1)データベースの更新スクリプトは下記のものです。

/etc/periodic/weekly/310.locate

/etc/periodic/weekly/310.locate の一部抜粋です。

locdb=/var/db/locate.database

touch $locdb && rc=0 || rc=3
chown nobody $locdb || rc=3
chmod 644 $locdb || rc=3
cd /
echo /usr/libexec/locate.updatedb | nice -n 5 su -fm nobody || rc=3
chmod 444 $locdb || rc=3;;

310.locateスクリプトでは、locate.updatedbをnobodyユーザで実行
しています。nobodyユーザでアクセスできる範囲のファイル名の情報を
集めることにより、基本的に人には見えないものはデータベースに
含まれなくなるということです。

---