* [devel] Writing initscript: is pidfile needed?
@ 2005-07-13 8:53 Sviatoslav Sviridov
2005-07-13 9:11 ` Ivan Fedorov
2005-07-13 9:32 ` Andrei Bulava
0 siblings, 2 replies; 8+ messages in thread
From: Sviatoslav Sviridov @ 2005-07-13 8:53 UTC (permalink / raw)
To: ALT Devel discussion list
Приветствую,
Нужна консультация по выбору наиболее правильного решения...
Дело в следующем:
собираю tor (http://tor.eff.org/), пишу к нему initscript из template.
Сам tor умеет:
- форкаться (уходить в бэкграунд)
- понижать привилегии до указанных user/group
- создавать/удалять свой pidfile
Не умеет:
- уходить в chroot
Проблема: под непривилегированным пользователем tor не может создать
pidfile, start-stop-daemon на это обижается, при прверке статуса фигню
выдает.
Варианты решения:
1. Не просить tor создавать pidfile, не говорить ничего про pidfile при
вызове start-daemon/stop-daemon. В этом случае все вроде бы работает,
никто не жалуется.
2. Не просить tor уходить в background, делать это при помощи
start-stop-daemon, используя "start-daemon --make-pidfile". В этом
случае pidfile будет создаваться и удаляться вне tor.
3. перепилить tor так, чтобы pidfile создавался до смены pid/gid?
4. ???
Внутреннее чутье и природная лень мне предлагают вариант 1 :), а какой
является наиболее кошерным?
--
Best Regards,
Sviatoslav Sviridov <Sviataslau_Svirydau at epam.com>
phone: +375 (17) 210 1662, ext. 1503
fax: +375 (17) 210 1168
mobile: +375 (29) 641 4214
--
Satellite Safety Tip #14:
If you see a bright streak in the sky coming at you, duck.
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Writing initscript: is pidfile needed?
2005-07-13 8:53 [devel] Writing initscript: is pidfile needed? Sviatoslav Sviridov
@ 2005-07-13 9:11 ` Ivan Fedorov
2005-07-13 9:36 ` Andrei Bulava
2005-07-13 9:32 ` Andrei Bulava
1 sibling, 1 reply; 8+ messages in thread
From: Ivan Fedorov @ 2005-07-13 9:11 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1145 bytes --]
Sviatoslav Sviridov пишет:
> Приветствую,
>
> Нужна консультация по выбору наиболее правильного решения...
> Дело в следующем:
> собираю tor (http://tor.eff.org/), пишу к нему initscript из template.
>
> Сам tor умеет:
> - форкаться (уходить в бэкграунд)
> - понижать привилегии до указанных user/group
> - создавать/удалять свой pidfile
> Не умеет:
> - уходить в chroot
>
> Проблема: под непривилегированным пользователем tor не может создать
> pidfile, start-stop-daemon на это обижается, при прверке статуса фигню
> выдает.
>
> Варианты решения:
> 1. Не просить tor создавать pidfile, не говорить ничего про pidfile при
> вызове start-daemon/stop-daemon. В этом случае все вроде бы работает,
> никто не жалуется.
> 2. Не просить tor уходить в background, делать это при помощи
> start-stop-daemon, используя "start-daemon --make-pidfile". В этом
> случае pidfile будет создаваться и удаляться вне tor.
> 3. перепилить tor так, чтобы pidfile создавался до смены pid/gid?
> 4. ???
>
> Внутреннее чутье и природная лень мне предлагают вариант 1 :), а какой
> является наиболее кошерным?
>
IMHO вариант 2.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Writing initscript: is pidfile needed?
2005-07-13 8:53 [devel] Writing initscript: is pidfile needed? Sviatoslav Sviridov
2005-07-13 9:11 ` Ivan Fedorov
@ 2005-07-13 9:32 ` Andrei Bulava
2005-07-13 9:52 ` Sviatoslav Sviridov
1 sibling, 1 reply; 8+ messages in thread
From: Andrei Bulava @ 2005-07-13 9:32 UTC (permalink / raw)
To: ALT Devel discussion list
Sviatoslav Sviridov wrote:
> Приветствую,
<skip />
> Проблема: под непривилегированным пользователем tor не может создать
> pidfile, start-stop-daemon на это обижается, при прверке статуса фигню
> выдает.
<skip />
> Внутреннее чутье и природная лень мне предлагают вариант 1 :), а какой
> является наиболее кошерным?
Тренируйте своё чутьё ;-)
Ничто не мешает класть pidfile в /var/run/tor/<pidfile>. /var/run/tor
должна принадлежать root и иметь права rwx для группы, к которой
принадлежит псевдопользователь, под которым будет запускаться tor.
--
// AB1002-UANIC
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Writing initscript: is pidfile needed?
2005-07-13 9:11 ` Ivan Fedorov
@ 2005-07-13 9:36 ` Andrei Bulava
2005-07-13 10:01 ` Ivan Fedorov
0 siblings, 1 reply; 8+ messages in thread
From: Andrei Bulava @ 2005-07-13 9:36 UTC (permalink / raw)
To: ALT Devel discussion list
Ivan Fedorov wrote:
> Sviatoslav Sviridov пишет:
<skip />
>> Проблема: под непривилегированным пользователем tor не может
>> создать pidfile, start-stop-daemon на это обижается, при прверке
>> статуса фигню выдает.
>>
>> Варианты решения:
<skip />
>> 2. Не просить tor уходить в background, делать это при помощи
>> start-stop-daemon, используя "start-daemon --make-pidfile". В этом
>> случае pidfile будет создаваться и удаляться вне tor.
<skip />
>> а какой является наиболее кошерным?
>>
>
> IMHO вариант 2.
Признайтесь, где вы уже успели так сделать? ;-) Мои два цента в другом
ответе.
--
// AB1002-UANIC
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Writing initscript: is pidfile needed?
2005-07-13 9:32 ` Andrei Bulava
@ 2005-07-13 9:52 ` Sviatoslav Sviridov
2005-07-13 10:10 ` Andrei Bulava
0 siblings, 1 reply; 8+ messages in thread
From: Sviatoslav Sviridov @ 2005-07-13 9:52 UTC (permalink / raw)
To: ALT Devel discussion list
Andrei Bulava wrote:
> Sviatoslav Sviridov wrote:
>
>> Приветствую,
>
> <skip />
>
>> Проблема: под непривилегированным пользователем tor не может создать
>> pidfile, start-stop-daemon на это обижается, при прверке статуса фигню
>> выдает.
>
> <skip />
>
>> Внутреннее чутье и природная лень мне предлагают вариант 1 :), а какой
>> является наиболее кошерным?
>
>
> Тренируйте своё чутьё ;-)
>
> Ничто не мешает класть pidfile в /var/run/tor/<pidfile>. /var/run/tor
> должна принадлежать root и иметь права rwx для группы, к которой
> принадлежит псевдопользователь, под которым будет запускаться tor.
Хм... тоже вариант... однако он мне почему-то не пришел в голову...
подозреваю, что на это повлияло созерцание /var/run на localhost... не
заметил я там подкаталогов, доступных по записи пользователю либо
группе, отличным от root... Есть такие прецеденты? Это нормально с точки
зрения ALT Security Policy?
--
Best Regards,
Sviatoslav Sviridov <Sviataslau_Svirydau at epam.com>
phone: +375 (17) 210 1662, ext. 1503
fax: +375 (17) 210 1168
mobile: +375 (29) 641 4214
--
Satellite Safety Tip #14:
If you see a bright streak in the sky coming at you, duck.
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Writing initscript: is pidfile needed?
2005-07-13 9:36 ` Andrei Bulava
@ 2005-07-13 10:01 ` Ivan Fedorov
0 siblings, 0 replies; 8+ messages in thread
From: Ivan Fedorov @ 2005-07-13 10:01 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 292 bytes --]
Andrei Bulava пишет:
>>> а какой является наиболее кошерным?
>>>
>>
>> IMHO вариант 2.
>
> Признайтесь, где вы уже успели так сделать? ;-)
IMHO вам по статусу еще далековато до таких вопросов! ;)
Но вообще я нигде такого еще не делал...
> Мои два цента в другом ответе.
видел
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Writing initscript: is pidfile needed?
2005-07-13 9:52 ` Sviatoslav Sviridov
@ 2005-07-13 10:10 ` Andrei Bulava
2005-07-13 15:33 ` Sviatoslav Sviridov
0 siblings, 1 reply; 8+ messages in thread
From: Andrei Bulava @ 2005-07-13 10:10 UTC (permalink / raw)
To: ALT Devel discussion list
Sviatoslav Sviridov wrote:
> Andrei Bulava wrote:
<skip />
>> Ничто не мешает класть pidfile в /var/run/tor/<pidfile>.
>> /var/run/tor должна принадлежать root и иметь права rwx для группы,
>> к которой принадлежит псевдопользователь, под которым будет
>> запускаться tor.
>
>
> Хм... тоже вариант... однако он мне почему-то не пришел в голову...
> подозреваю, что на это повлияло созерцание /var/run на localhost...
> не заметил я там подкаталогов, доступных по записи пользователю либо
> группе, отличным от root... Есть такие прецеденты?
Просто большинство из того, что вы искали, лежит по chroot'ам :-)
# ls -ald /var/lib/nut/var/lib/upsd
drwx-wx--T 2 root upsdrv 4096 Jul 8 08:43 /var/lib/nut/var/lib/upsd
# ls -al /var/lib/nut/var/lib/upsd
total 16
drwx-wx--T 2 root upsdrv 4096 Jul 8 08:43 .
drwx--x--- 3 root upsdrv 4096 Aug 5 2004 ..
srw-rw---- 1 upsdrv upsdrv 0 Jul 8 08:43 hidups-hiddev0
-rw-r--r-- 1 upsdrv upsdrv 6 Jul 8 08:43 hidups-hiddev0.pid
-rw-r--r-- 1 upsd upsd 6 Jul 8 08:43 upsd.pid
# id upsd
uid=115(upsd) gid=426(upsd) groups=426(upsd),116(upsdrv)
# ls -ald /var/lib/mysql
drwxrws--t 8 root mysql 4096 Jul 8 08:44 /var/lib/mysql
# ls -al /var/lib/mysql/*.pid
-rw-rw---- 1 mysql mysql 6 Jul 8 08:44 /var/lib/mysql/mysqld.pid
> Это нормально с точки зрения ALT Security Policy?
Будет нормально с нижеследующими поправками по следам осмотра nut,
упакованного ldv@, писавшим это Policy:
/var/run/tor должна принадлежать root, а для группы,
к которой принадлежит псевдопользователь, под которым будет
запускаться tor, на эту директорию хватит и прав -wx. Насчёт sticky бита
на эту же директорию - его тоже нужно выставить.
--
// AB1002-UANIC
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Writing initscript: is pidfile needed?
2005-07-13 10:10 ` Andrei Bulava
@ 2005-07-13 15:33 ` Sviatoslav Sviridov
0 siblings, 0 replies; 8+ messages in thread
From: Sviatoslav Sviridov @ 2005-07-13 15:33 UTC (permalink / raw)
To: ALT Devel discussion list
Andrei Bulava wrote:
> Просто большинство из того, что вы искали, лежит по chroot'ам :-)
спасибо за примеры, у меня не было установлено этих пакетов :)
Так и сделаю
> ...
>
>> Это нормально с точки зрения ALT Security Policy?
>
>
> Будет нормально с нижеследующими поправками по следам осмотра nut,
> упакованного ldv@, писавшим это Policy:
>
> /var/run/tor должна принадлежать root, а для группы,
> к которой принадлежит псевдопользователь, под которым будет
> запускаться tor, на эту директорию хватит и прав -wx. Насчёт sticky
> бита на эту же директорию - его тоже нужно выставить.
Такой еще вопрос:
Имеется /var/cache/tor, куда складывается, например, закешированный
список серверов. tor требует, чтобы он был владельцем данного каталога,
иначе отказывается туда писать... Я поставил там 2700 _tor:_tor. Это
приемлемо?
ЗЫ крутится в голове еще вариант сразу размещать все в /var/lib/tor,
чтоб потом меньше мороки было, когда его в чрут пихать... но, чесслово,
сейчас лень ;)
--
Best Regards,
Sviatoslav Sviridov <Sviataslau_Svirydau at epam.com>
phone: +375 (17) 210 1662, ext. 1503
fax: +375 (17) 210 1168
mobile: +375 (29) 641 4214
--
Satellite Safety Tip #14:
If you see a bright streak in the sky coming at you, duck.
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2005-07-13 15:33 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-07-13 8:53 [devel] Writing initscript: is pidfile needed? Sviatoslav Sviridov
2005-07-13 9:11 ` Ivan Fedorov
2005-07-13 9:36 ` Andrei Bulava
2005-07-13 10:01 ` Ivan Fedorov
2005-07-13 9:32 ` Andrei Bulava
2005-07-13 9:52 ` Sviatoslav Sviridov
2005-07-13 10:10 ` Andrei Bulava
2005-07-13 15:33 ` Sviatoslav Sviridov
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git