[devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy

[Dmitry V. Levin]

On Tue, Aug 03, 2004 at 04:06:28PM +0500, Sergey Y. Afonin wrote:
> Привет All.
> 
> Что-то до меня только сейчас дошло... 
> 
> Есть три момента.
> 
> 1. ALT Secure Packaging Policy
> Владельцы каталогов
>  Пакеты НЕ ДОЛЖНЫ содержать каталоги, принадлежащие псевдо-пользователям. 
>  Вместо этого следует использовать каталоги, принадлежащие root, с установленным 
>  sticky bit и доступом группы по записи. 
> 
> 2. clamav-milter. В соответствии с 1 в спеке
> %attr(3771,root,mail) %dir /var/log/clamav
> 
> Вроде тоже все понятно.
> 
> Проблема в том, что sendmail по своей собственной политике безопасности 
> не работает с сокетами, расположенными в каталогах, открытых для записи 
> для группы. Если сделать 751, то clamav-milter не сможет создать сокет, 
> если сделать mail.mail, это будет нарушением полиси...

Я бы ослабил ограничение в sendmail, чтобы он работал с сокетами,
расположенными в каталогах, принадлежащих root, с установленным sticky bit
и доступом владельца и группы (но не всех остальных) по записи.

Если владельцем каталога сделать пользователя mail, то он сможет менять
права доступа на этот каталог.


-- 
ldv
----------- следущая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: отсутствует
Url     : http://lists.altlinux.ru/pipermail/devel/attachments/20040803/063e7ea1/attachment.bin