ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Alexandr Goncharov                   2:5020/400     10 Apr 2002  21:44:14
 To : Denis Smirnov
 Subject : Re: virtual hosting -- security
 -------------------------------------------------------------------------------- 
 

 Denis Smirnov <mithraen@freesource.info> wrote:
 
 DS> Dmitry Simakov <ds@uriit.ru> wrote:
 
 DS>> Делаешь каждому пользователю отдельный аккаунт.. И пусть сами разбираются
 DS>> с правами доступа к своим ресурсам, которые располагаются ниже 
 DS>> /home/sites/www.vasya-pupkin.name/. ;)
 
 DS> Причём тут они? Пользователь apache должен иметь доступ на чтение, а в
 DS> некоторых случаях и на запись (если из PHP что-нибудь пишется).
 
 DS>> Hа ftp рекомендую proftpd. Он умеет из коробки "chowned root" делать для
 DS>> юзеров. А wu-ftpd сноси сразу, он не годится для виртуального хостинга.
 
 DS> Слава богу у меня proftpd :)
 
 >>> Как с этим бороться? Hеужто запускать отдельную копию http-сервера для
 >>> каждого виртуального сервера, которому предоставляется CGI?
 DS>> А вообще, незачем дурить - секретные данные надо хранить в базе данных. 
 DS>> Hапример, mysql для этого иделально подходит.
 
 DS> Это уже не моё дело, это дело пользователей где и что хранить. От меня
 DS> требуется настроить всё так, чтобы пользователи друг-другу гадить не
 DS> могли. 
 
 DS> А как это сделать, кроме как отдельной копией апача для каждого
 DS> пользователя -- я не знаю.
 
 Можно сделать о разному. 
 Есть статья Алексея Закирова из Агавы на эту тему, урла на память не помню.
 Hа работе в букмарке заложена. Можно попробовать поискать на google по
 словам jail и shell.
 У нас сделано так:
 апач запушен от www.www
 юзер имеет uid.wwwusers
 права на homedir - rwxr_x___, владеет ею uid.www
 Тем самым апач может читать страницы, а другой юзер доступа в эту директорию
 не имеет.
 внутри homedir находится каталог cgi-bin, описаный в конфиге апача, как
 место, откуда можно исполнять скрипты.
 А дальше, используя cgi-wrapper (в нашем случае), suexec или другой подобный
 механизм - обеспечиваем, чтобы скрипты из homedir/cgi-bin вызывались на
 исполнение апачем, но исполнялись от имени владельца (юзера).
 Тем самым добиваемся, что попытка читать своим скриптом содержимое соседней
 директории не проходит.
 Есть всякие нюансы, разумеется, но направление, куда копать - такое.
  
 DS> -- 
 DS> С уважением, Denis
 
 DS> http://freesource.info
 
 -- 
 Alexandr V. Goncharov,   | Digital Networks, Tomsktelecom
 AGV-RIPE,      | agv@tomsknet.ru 
 AGV3-RIPN      | phonе: +7(382-2)662510
 --- ifmail v.2.15dev5
  * Origin: Tomsktelecom - Digital Networks (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    virtual hosting -- security   Denis Smirnov   07 Apr 2002 18:04:42   Re: virtual hosting -- security   Dmitry Simakov   09 Apr 2002 22:11:31   Re: virtual hosting -- security   Denis Smirnov   10 Apr 2002 20:59:19   Re: virtual hosting -- security   Alexandr Goncharov   10 Apr 2002 21:44:14   Re: virtual hosting -- security   Denis Smirnov   10 Apr 2002 23:47:43   Re: virtual hosting -- security   Alexandr Goncharov   11 Apr 2002 05:10:42   Re: virtual hosting -- security   Denis Smirnov   11 Apr 2002 15:18:17   Re: virtual hosting -- security   Alexandr Goncharov   12 Apr 2002 05:24:19   Re: virtual hosting -- security   Denis Smirnov   12 Apr 2002 08:29:42   Re: virtual hosting -- security   Dmitry Simakov   11 Apr 2002 00:31:01   Re: virtual hosting -- security   Denis Smirnov   11 Apr 2002 03:18:52   Re: virtual hosting -- security   Dmitry Simakov   12 Apr 2002 22:58:08   Re: virtual hosting -- security   Denis Smirnov   14 Apr 2002 02:03:39