On 2012.08.16 at 11:26:20 +0200, Alex Mestiashvili wrote: > например: > есть сайт который крутится под suphp и скрипты запускаются от юзера xxx. > > к этому сайту прикручен webdav через который можно редактировать скрипты. > для того чтобы скрипты допустим в /var/www/xxx c ownership xxx были > видны как www-data для вебдав > cоздаем еще одну директорию /var/www/xxx_dav которую монтируем следуюшим > образом: > bindfs -o create-for-user=xxx,create-for-group=xxx -u www-data -g > www-data /var/www/xxx /var/www/xxx_dav > теперь все файлы в /var/www/xxx_dav видны как www-data и их можно > редактировать, создавать новые и т.д. , > при этом в /var/www/xxx файлы видны как созданые от xxx. > собственно через webdav вы редактируете файлы в /var/www/xxx_dav , а > скрипты запускаются веб сервером в /var/www/xxx .
1. Вопрос в том, что является в системе более дефицитым ресурсом - user_id или количество смонтированных файловых систем. 2. Типичная security by obscurity. Здесь для того чтобы взломать сайт через дырку в скрипте, нужно всего лишь знать, где именно в файловой системе лежит rw-копия скрипта. Ну либо надо скрипты в chroot запускать, чтобы доступа к rw-копиям себя у них не было в принципе. А системный вызов chroot работает только от рута, да и cgi-environment переписывать придется. В общем - куча новых security implications. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120816100637.ga...@wagner.pp.ru
