[devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy

[Dmitry V. Levin]

On Tue, Aug 03, 2004 at 04:06:28PM +0500, Sergey Y. Afonin wrote:
> Привет All.
> 
> Что-то до меня только сейчас дошло... 
> 
> Есть три момента.
> 
> 1. ALT Secure Packaging Policy
> Владельцы каталогов
>  Пакеты НЕ ДОЛЖНЫ содержать каталоги, принадлежащие псевдо-пользователям. 
>  Вместо этого следует использовать каталоги, принадлежащие root, с установленным 
>  sticky bit и доступом группы по записи. 
> 
> 2. clamav-milter. В соответствии с 1 в спеке
> %attr(3771,root,mail) %dir /var/log/clamav
> 
> Вроде тоже все понятно.
> 
> Проблема в том, что sendmail по своей собственной политике безопасности 
> не работает с сокетами, расположенными в каталогах, открытых для записи 
> для группы. Если сделать 751, то clamav-milter не сможет создать сокет, 
> если сделать mail.mail, это будет нарушением полиси...

Я бы ослабил ограничение в sendmail, чтобы он работал с сокетами,
расположенными в каталогах, принадлежащих root, с установленным sticky bit
и доступом владельца и группы (но не всех остальных) по записи.

Если владельцем каталога сделать пользователя mail, то он сможет менять
права доступа на этот каталог.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20040803/063e7ea1/attachment-0001.bin>