Deux programmes setuid /usr/bin/bar
et /usr/bin/baz
partagent un seul fichier de configuration foo
. Le mode du fichier de configuration est 0640
, car il contient des informations sensibles. Les pistes de l' un programme en tant que bar:bar
(qui est, en tant qu'utilisateur bar, groupe bar ); l'autre comme baz:baz
. Changer les utilisateurs n'est pas une option, et même changer de groupe ne serait pas préférable.
Je souhaite lier en dur le fichier de configuration unique en tant que /etc/bar/foo
et /etc/baz/foo
. Cependant, cela échoue car le fichier doit, à ma connaissance, appartenir à root:bar
ou à root:baz
.
Solution potentielle: Créez un nouveau groupe barbaz
dont les membres sont bar
et baz
. Laisser foo
appartenir à root:barbaz
.
Cela ressemble à une solution assez lourde pour moi. N'y a-t-il pas un moyen plus simple et plus simple de partager le fichier de configuration foo
entre les deux programmes?
Pour le moment, je conserve deux copies identiques du fichier. Cela fonctionne, mais est évidemment faux. Quel serait le droit?
Pour information: j'ai peu d'expérience avec les groupes Unix et aucun avec setgid (2).
ssl-cert
groupe, qui est à peu près votre barbaz
groupe. La norme consiste à définir toutes les clés privées appartenant au ssl-cert
groupe et à placer les UID associés aux programmes devant accéder à ce groupe.
ssl-cert
dont le script postinst, lors de l'installation, crée le groupe dont vous parlez. Je n'avais pas été au courant ssl-cert
. Apache2 (installé sur mon hôte) recommande ssl-cert
. Les différents forfaits Exim et Dovecot ne le font pas, mais Postfix (non installé sur mon hôte) dépend de ssl-cert
. En raison de Apache, mon hôte a un groupe ssl-cert , mais ce groupe n’a pas encore de membres. Merci pour le conseil.