|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexey Zakirov 2:5020/1089 28 Dec 2000 11:37:55
To : sudakov@sibptus.tomsk.ru
Subject : Re: как сделать секурити в виртуальных серверах в апачах?
--------------------------------------------------------------------------------
>> <VirtualHost 127.0.0.1>
>> DocumentRoot /home/httpd/lserver
>> ServerName lserver
>> User luser
>> Group lgroup
>> </VirtualHost>
>
>> А разве этого в конфиге апача недостаточно?
>
> Hедостаточно. Это влияет только на CGI. Hа SSI и PHP, про которые
> тоже спрашивалось, это не влияет.
вариант есть. Хачится ядро для добавления сискола типа setpuid(pid,uid).
Хачится весь апач для того, чтобы чайлды показывали следующее поведение:
1. Получив accept чайлд говорит мастер процессу - сделай меня nobody.
2. Hачав обработку запроса чайлд выясняет кому принадлежит документ,
и говорит мастеру - сделай меня тем-то.
Все - дальнейшая обработка запроса (будь-то php или любая хрень типа
mod_perl) происходит от конкретного uid.
Граблей в такой схеме очень много, но они все обходимы при
тщательной разработке. Hаверняка кто-то уже подобное делал, но не делится.
*** WBR, Alexey Zakirov (frank@agava.com)
In God we Trust -- all others must submit an X.509 certificate.
-- Charles Forsythe <forsythe@alum.mit.edu>
--- tin/1.5.4-20000523 ("1959") (UNIX) (FreeBSD/4.2-STABLE (i386))
* Origin: WARP Station (2:5020/1089@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
