On Tue, Aug 03, 2004 at 04:06:28PM +0500, Sergey Y. Afonin wrote:
> Привет All.
> 
> Что-то до меня только сейчас дошло... 
> 
> Есть три момента.
> 
> 1. ALT Secure Packaging Policy
> Владельцы каталогов
>  Пакеты НЕ ДОЛЖНЫ содержать каталоги, принадлежащие псевдо-пользователям. 
>  Вместо этого следует использовать каталоги, принадлежащие root, с установленным 
>  sticky bit и доступом группы по записи. 
> 
> 2. clamav-milter. В соответствии с 1 в спеке
> %attr(3771,root,mail) %dir /var/log/clamav
> 
> Вроде тоже все понятно.
> 
> Проблема в том, что sendmail по своей собственной политике безопасности 
> не работает с сокетами, расположенными в каталогах, открытых для записи 
> для группы. Если сделать 751, то clamav-milter не сможет создать сокет, 
> если сделать mail.mail, это будет нарушением полиси...

Я бы ослабил ограничение в sendmail, чтобы он работал с сокетами,
расположенными в каталогах, принадлежащих root, с установленным sticky bit
и доступом владельца и группы (но не всех остальных) по записи.

Если владельцем каталога сделать пользователя mail, то он сможет менять
права доступа на этот каталог.


-- 
ldv