On Wed, Aug 23, 2006 at 05:10:28PM +0400, Sergey Pinaev wrote:
> On Wed, 23 Aug 2006 16:26:47 +0400
> "Dmitry V. Levin" <ldv@altlinux.org> wrote:
> 
> > > > > а не пора ли нам чего-нибудь придумать на тему установок
> > > > > лимитов (как минимум) для сервисов, самостоятельно делающих setuid?
> > > > > например очень бы хотелось этого для апача.
> > > > 
> > > > PAM использовать нет никакой возможности?
> > > 
> > > а как? я, возможно, туплю, но я не понимаю каким боком его тут
> > > прикрутить.
> > 
> > Таким же боком, которым я прикручивал PAM к crond.
> 
> "вы не подскажете, где мы находимся?" "на воздушном шаре".
> 
> я, конечно, понимаю, что rtfs - оно лучший ответ на любой вопрос.

Более того, я полагаю, что vixie-cron-4.1.20040916-alt-pam.patch
достаточно внятен, и при необходимости я могу прокомментировать.

> но, прежде чем rtfs, хотелось бы, в общих чертах, понять принцип
> "решения", чтобы понять - оно мне надо или нет.

Грубо говоря, если код демона делает
fork
	setuid
	[...]
	exit
wait

то после прикручивания PAM код демона делает
pam_start
pam_authenticate
pam_acct_mgmt
pam_open_session
fork
	pam_setcred
	setuid
	[...]
	exit
wait
pam_close_session
pam_end


-- 
ldv