From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <abulava@altlinux.ru>
Message-ID: <42D4E89C.9060406@altlinux.ru>
Date: Wed, 13 Jul 2005 13:10:36 +0300
From: Andrei Bulava <abulava@altlinux.ru>
User-Agent: Mozilla Thunderbird 1.0.2 (X11/20050512)
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: ALT Devel discussion list <devel@altlinux.ru>
Subject: Re: [devel] Writing initscript: is pidfile needed?
References: <42D4D6A1.40908@altlinux.ru> <42D4DFB9.2080403@altlinux.ru>
	<42D4E467.3080308@altlinux.ru>
In-Reply-To: <42D4E467.3080308@altlinux.ru>
Content-Type: text/plain; charset=windows-1251; format=flowed
Content-Transfer-Encoding: 8bit
X-Virus-Scanned: ClamAV 0.85.1/977/Wed Jul 13 00:53:40 2005 on
	alfa.lan.base3.it
X-Virus-Status: Clean
X-BeenThere: devel@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: ALT Devel discussion list <devel@altlinux.ru>
List-Id: ALT Devel discussion list <devel.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/devel>
List-Post: <mailto:devel@altlinux.ru>
List-Help: <mailto:devel-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Wed, 13 Jul 2005 10:10:40 -0000
Archived-At: <http://lore.altlinux.org/devel/42D4E89C.9060406@altlinux.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Sviatoslav Sviridov wrote:
> Andrei Bulava wrote:

<skip />

>> Ничто не мешает класть pidfile в /var/run/tor/<pidfile>.
>> /var/run/tor должна принадлежать root и иметь права rwx для группы,
>> к которой принадлежит псевдопользователь, под которым будет
>> запускаться tor.
> 
> 
> Хм... тоже вариант... однако он мне почему-то не пришел в голову... 
> подозреваю, что на это повлияло созерцание /var/run на localhost...
> не заметил я там подкаталогов, доступных по записи пользователю либо 
> группе, отличным от root... Есть такие прецеденты?

Просто большинство из того, что вы искали, лежит по chroot'ам :-)

# ls -ald /var/lib/nut/var/lib/upsd
drwx-wx--T  2 root upsdrv 4096 Jul  8 08:43 /var/lib/nut/var/lib/upsd
# ls -al /var/lib/nut/var/lib/upsd
total 16
drwx-wx--T  2 root   upsdrv 4096 Jul  8 08:43 .
drwx--x---  3 root   upsdrv 4096 Aug  5  2004 ..
srw-rw----  1 upsdrv upsdrv    0 Jul  8 08:43 hidups-hiddev0
-rw-r--r--  1 upsdrv upsdrv    6 Jul  8 08:43 hidups-hiddev0.pid
-rw-r--r--  1 upsd   upsd      6 Jul  8 08:43 upsd.pid
# id upsd
uid=115(upsd) gid=426(upsd) groups=426(upsd),116(upsdrv)

# ls -ald /var/lib/mysql
drwxrws--t  8 root mysql 4096 Jul  8 08:44 /var/lib/mysql
# ls -al /var/lib/mysql/*.pid
-rw-rw----  1 mysql mysql 6 Jul  8 08:44 /var/lib/mysql/mysqld.pid

> Это нормально с точки зрения ALT Security Policy?

Будет нормально с нижеследующими поправками по следам осмотра nut, 
упакованного ldv@, писавшим это Policy:

/var/run/tor должна принадлежать root, а для группы,
к которой принадлежит псевдопользователь, под которым будет
запускаться tor, на эту директорию хватит и прав -wx. Насчёт sticky бита 
  на эту же директорию - его тоже нужно выставить.

-- 
// AB1002-UANIC