On Wed, Jun 10, 2009 at 12:29:21PM +0400, Dmitry V. Levin wrote:
> On Tue, Jun 09, 2009 at 07:41:47PM +0400, Afanasov Dmitry wrote:
> > приветствую.
> > 
> > на ftp://ftp.altlinux.org/people/ender/3proxy лежит (либо будет через час)
> > сборка 3proxy с drop root патчем.
> 
> Общее соображение для выбранной схемы drop root: убедитесь, что
> непривилегированный процесс, читающий конфиг(и), не имеет доступ на запись
> в файлы конфигов и каталоги, в которых эти файлы размещены.
проверил следующее:
1. создание raw сокетов - не пускает
2. rw доступ на /etc/3proxy.conf - не пускает
3. chown root:root - нельзя

для аудита: http://git.altlinux.org/people/ender/packages/?p=3proxy.git;a=commitdiff;h=0f72c6af224bb7dba04c610da3a59482cd5aaba6

чтобы ещё проверить. логи обязаны быть доступны на запись, pid файл тоже.
все остальное, что не доступно для пользователя _3proxy выдает permission
denied.

-- 
 С уважением
 Афанасов Дмитрий