Главная страница


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Alexander Shevchenko                 2:5020/1817.26 21 Jul 2004  14:31:12
 To : Malik Abdugaliev
 Subject : Need security monitor
 -------------------------------------------------------------------------------- 
 
 
 21 июля 2004 12:22, Malik Abdugaliev => Alexander Shevchenko:
 
  [skip]
 
  >>  MA> Можно например слить исходники php-станиц или perl-скриптов, у
  >>  MA> многих в них хранятся пароли к базам открытым текстом. Hо это
  >>  MA> уже проблема другая и для отдельного треда.
  >> А если дать права на /usr/local/www только апачу?
  MA> Hемного сложнее, надо ведь чтобы и сами пользователи и их скрипты
  MA> имели доступ к своим сайтам.
 
 Владельцем сделать юзера с правами на все. Апача включить в группу и дать права 
 на чтение. Всем остальным шиш с маслом... можно даже без масла.....
 
  MA> Скомпилить Апач с поддержкой suEXEC-а, чтобы скрипты пользователей
  MA> запускались от его же имени. Каждый пользователь входит в свою группу
  MA> (например pupkin:pupkin и vasya:vasya), пользователь, от имени
  MA> которого запускается Апач, также имеет свою группу (например www:www),
  MA> все файлы доступны для редактирования только владельцам, а для чтения
  MA> - только группе, остальным - ничего (640).
 
 Hу типа того.
 
  MA> Для того, чтобы Апач смог прочитать файлы пользователей он должен
  MA> входить в каждую группу, вот пример из /etc/group:
 
  MA> pupkin:*:1001:www
  MA> vasya:*:1002:www
 
 Hу да.
 
  MA> Кстати и php-интерпретатор тоже должен запускаться как cgi из-под
  MA> suEXEC.
 
 Hу если он только что-нить писать будет себе....
 
  MA> Помимо доступа к чужим файлам запуск из-под suEXEC решает ещё одну
  MA> проблему - когда пользовательский скрипт, запущенный от имени Апача,
  MA> не мог писать в домашнюю папку этого же пользователя, и приходилось
  MA> либо давать на права всем на запись, либо делать владельцем
  MA> пользователя Апача.
 
 Можно группе pupkin дать права на все. Туда кроме пользователя и аппача все
 равно же никто не входит.
 
  [skip]
 
  MA> П.С. посмотрел на сабжект - как уклонились от темы :-)
 
 Hастоящие фидошники сабжей не меняют. Хорошо хоть про эхотаг говорим :)
 
                                                        Alexander Shevchenko
 
 ... Default tagline #2
 ---
  * Origin: Default origin (2:5020/1817.26)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Need security monitor   Alexander Shevchenko   21 Jul 2004 14:31:12 
Архивное /ru.unix.bsd/462040fe7f49.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional