|
ru.perl
- RU.PERL ----------------------------------------------------------------------
From : Phil Kulin 2:5030/927.100 06 Dec 2002 01:52:04
To : Victor Wagner
Subject : unlink и права доступа к каталогу
--------------------------------------------------------------------------------
Transfer from Andrey to Victor Wagner detected_
Transfer <Срд : Дек-04-2002 : 16:26> going on RU.PERL_
A>>> Спасибо за подсказку.
A>>> При помощи переменных $< и $> и функции stat() выяснил,
A>>> что идентификаторы пользователя для процесса и для владельца
A>>> файла скрипта совпадают, то есть cgi-скрипт исполняется от имени
A>>> владельца файла скрипта.
A>>> Мне всегда казалось, что такое должно происходить, если для файла
A>>> скрипта установлен атрибут setuid, но в данном случае он не стоит
VW>> Как правило - нет. Большинство скриптовых языков суид-бит
VW>> игнорируют. Перл, вообще говоря, исключение, но на массовых
VW>> хостингах вряд ли дают suidperl. Даже админам.
Я даже больше скажу - некоторые системы просто в ядре игнорируют suid на
скрипте без управляющего терминала (например cgi или из cron :-)
A>>> (права доступа 0755).
A>>> Может быть это особенности серверной настройки и
A>>> изменить это из скрипта нельзя?
VW>> Типичная настройка для массовых хостингов.
В Апаче 2.0 просто умолчательная.
A> Интересно, что в различной литературе особо подчеркивается,
A> что в случае cgi-скриптов они всегда исполняются не от
A> имени владельца файла скрипта, а с правами пользователя
A> 'nobody', и использование SUID скриптов является делом
A> чрезвычайно небезопастным.
Традиционным считатся случай, когда скрипты исполняются от имени того
пользователя, который прописан в директиве VirtualHost Апача (привожу этот
сервер в пример как абсолютного лидера, во всяком случае по статистике
http://netstat.ru). Обычно (но необязательно) этот пользователь совпадает с
владельцем скрипта, Термины же "от имени владельца файла" присущи скорее
дьявольской технологии PHP, в которой всё не как у людей.
A> Hа самом же деле, оказывается, что на 'массовых хостингах'
A> все скрипты фактически исполняются со столь широкими
A> полномочиями владельца скрипта?
'nobody' тоже пользователь... Редко когда на нём какие-то специальные
ограничения на уровне встроенных. Это просто специально настроенный
пользователь... Hикто не мешает так же аккуратно настроить пользователя
хостинга.
Пока, Victor!
Phil
... Hайдено неизвестно что. Вставьте диск неизвестно с чем.
--- GoldED+/386 1.1.4.3
* Origin: Nan-Elmoth Forest (2:5030/927.100)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
