|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Vladimir Volokh 2:5059/9.59 10 Jan 2001 23:44:00
To : vitus@ice.ru
Subject : Re: Вопрос про Apache
--------------------------------------------------------------------------------
Было <Пятница Январь 01 1988>, когда я прочитал как vitus@ice.ru писал к
Vladimir Volokh
VV>> Что надо сделать, чтобы на Linux-сервере с "живыми" пользователями,
VV>> последние
VV>> не смогли получить доступ к информации web-сайта через файловую
VV>> систему, а только посредством броузера? В документации и в книгах
VV>> такая конфигурация не рассматривается, а следуя Security Tips
VV>> складывается мнение, что вообще невозможна.
v> Все каталоги в DocumentRoot с правами 0570, все файлы в них 0460
v> Владелец их всех - юзер, от которого Apache выполняется, например
v> www-data, группа - те пользователи, которые могут эти файлы изменять.
v> Остальные живые юзеры в эту группу не включаются.
До этого я тоже дошел.
Hо это приведет (может привести?) к нарушению безопасности, во всей прочтенной
(на сегодняшний день) мною документации сказано буквально следующее:
"...идентификаторы пользователя и группы владельцев файлами не должны совпадать
с индетификаторами пользователя и группы от имени которых выполняется Apache..."
и далее рекомендуется установить права доступа 755 для каталогов и 644 для
файлов, владельцами файлов root.root (или root.wheel), в Apache nobody.nobody.
Мне это кажется разумным, особенно, если учесть, что используются cgi.
Хотя, честно скажу, что большого опыта администрирования Apache (и иже с ним
саязанного) у меня нет - решаю все проблемы по мере их возникновения.
С уважением, Vladimir. (Пятница Январь 01 1988)
[Registered Linux user #164077]
--- GoldEd 3.00b+
* Origin: Rubin Station, Penza, Russia (2:5059/9.59)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Вопрос про Apache 