Не вставляйте файл PID /var/run/foo.pid
, вставьте его /var/run/foo/foo.pid
и имейте /var/run/foo
принадлежавший пользователю foo
и группа foo
. Тем путем можно удалить изодромный с предварением файл прежде, чем выйти, и Вы не должны повышать свой уровень полномочий.
Обратите внимание, однако, что это - плохая практика безопасности начиная с разрешения Вашего непривилегированного искажения приложения с его файлом, откроет дыру в системе безопасности: предположите, что Ваше приложение угнано (в конце концов, какой был смысл отбрасывания полномочий, если не ожидать, что приложение может подвергнуться нападению?) - теперь, взломщик обновляет изодромный с предварением файл и помещает, скажем, изодромное с предварением число sshd там. Теперь, когда сценарии в масштабе всей системы (работающий как корень) попытаются остановить Ваше приложение с помощью того изодромного с предварением файла, они завершат работу sshd вместо этого. Это - просто пример, существует больше способов злоупотребить Вашей системой. В целом, изодромный с предварением файл должен быть создан прежде, чем отбросить полномочия, и очистка изодромных с предварением файлов должна быть выполнена сценариями в масштабе всей системы. - Dmitry D. Khlebnikov
Еще лучшая идея состояла бы в том, чтобы переключиться на init систему как systemd или Выскочка, которая не требует, чтобы файлы PID справились с сервисами.
Yes, by putting in Options -Indexes
you disable autoindex for the entire VirtualHost.
You can read about it in the Apache Core Features documentation if you would like to learn more about it.