<div dir="ltr"><div class="gmail_quote">On Wed, Apr 15, 2015 at 6:18 AM Poul-Henning Kamp <<a href="mailto:phk@phk.freebsd.dk">phk@phk.freebsd.dk</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">That would make gid=varnish the general restrictor for acces, such that<br>
it could also be used for VCL files etc.<br></blockquote><div><br></div><div>Yup, I think it's a very reasonable yet safe restriction.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">You can put the secret file wherever you like (and have as many copies<br>
as you like) this is only about when people do not give a -S.<br>
<br>
I think keeping it in the -n directory makes sense, and giving it the<br>
same privs (uid/gid) as varnishd was started with is a good place to start.<br></blockquote><div><br></div><div>Yeah, I was thinking it might work well as a default, but if we go with gid=varnish being needed for the tools, scratch making the default something else.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
So 640 + vadmin:varnish ? (_.vsm)<br></blockquote><div><br></div><div>Yes. </div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">That would be consistent, but what does everybody else say ?<br></blockquote><div><br></div><div>Quite. Anyone? :)</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Dridi's suggestion of "vcache" is better than my "vrun".<br></blockquote><div><br></div><div>I agree. It's way more recognizable as being varnish related than "vrun" or "vworker".</div><div><br></div></div></div>