fcgiwrap прослушивание файла сокета unix: как изменить права доступа к файлу

У меня есть веб-сервер (nginx) и приложение CGI (gitweb), которое работает с fcgiwrap, чтобы обеспечить быстрый доступ к нему CGI. Я хочу, чтобы протокол Fast CGI проходил через файл сокета Unix.

Чтобы запустить демон fcgiwrap, я запускаю:

setuidgid git fcgiwrap -s "unix:$PWD/fastcgi.sock"

(это DAEMON Tools демон)

Проблема в том, что мой веб-сервер работает как пользователь www-data а не пользователь git, А также fcgiwrap создает сокет fastcgi.sock с пользователем git, группа git и читать только для не владельца. Таким образом, nginx с пользователем www-data не может получить доступ к сокету.

По-видимому, fcgiwrap не может выбирать разрешения для файлов сокетов Unix. И это довольно раздражает. Более того, если мне удастся создать файл сокета до запуска fcgiwrap (что довольно сложно, учитывая, что я не нашел никакой команды оболочки для создания файла сокета), он завершается со следующей ошибкой:

Failed to bind: Address already in use

Единственное решение, которое я нашел, - запустить сервер следующим образом:

rm -f fastcgi.sock # Ensure that the socket doesn't already exists
(sleep 5; chgrp www-data fastcgi.sock; chmod g+w fastcgi.sock) &
exec setuidgid git fcgiwrap -s "unix:$PWD/fastcgi.sock"

Что далеко не самое элегантное решение. Можете ли вы придумать что-нибудь лучше?

Спасибо

Одним из способов было бы запустить fcgiwrap от имени конкретного пользователя и заставить его создать сокет в папке с установленным фиксированным битом. Stickybit гарантирует, что все файлы, созданные в этом каталоге, имеют данную группу.

mkdir sdir
chgrp www-data sdir
chmod g+s sdir
exec setuidgid git fcgiwrap -s "unix:$PWD/sdir/fastcgi.sock"

Вы можете использовать символическую ссылку, если хотите увидеть оригинальное имя сокета.

ln -s fastcgi.sock sdir/fastcgi.sock

Fcgiwrap теперь совместим с активацией сокета systemd. Должна быть возможность использовать протокол systemd отдельно от os без systemd.