Peter Pentchev пишет: > On Thu, Aug 20, 2009 at 07:56:57AM +0800, Денис wrote: >> Peter Pentchev пишет: >>> On Thu, Aug 20, 2009 at 07:45:21AM +0800, Денис wrote: >>>> Иван Лох пишет: >>>>> On Thu, Aug 20, 2009 at 04:13:16AM +0800, Денис wrote: >>>>>> заливать свои сайты пользователи будут через WebDAV скорее всего, ну >>>>>> может быть ещё через ftp. список имён-паролей тоже будет лежать у них в >>>>>> директории >>>>>> >>>>>> Так же у пользователей должна быть возможность заливать и запускать >>>>>> скрипты и прочую муру. >>>>> ^^^^^^^^ >>>>>> принадлежать все страницы будут пользователю типа www-data, видимо >>>>>> >>>>>> вопрос: как по debian way красиво разграничить этим пользователям доступ >>>>>> чтобы они друг-другу скриптами странички не портили? (да саму систему от >>>>>> этого тоже бы желательно защитить, если это возможно, конечно) >>>>> Со скриптами IMHO, никак. Кто помешает скрипту убить _свой_ процесс или >>>>> удалить _свой_ файл? >>>> Ааа, стоп! Выходит, без suid в нужного юзера на уровне апача вообще >>>> нельзя хостинг делать - юзеры будут друг-другу скрипты грохать? >>> Точно. Или suid, или chroot, или оба. Suid - почти обязательний, >>> из-за kill(1), setrlimit(2) и т.д. >> Ага, вроде suid достаточно для закрытия директорий других пользователей. >> Но suid апачем сейчас не поддерживается и все хостинги "простых >> страничек" на апаче в интернете уязвимы? каррамба > > Чистый suid апачем поддерживается давным-давно - mod_suexec > (и, как я говорил ранше, mod_suphp). Suid + chroot - другое дело. > Я сильно подозреваю, что много из серьезных хостингов или допиливают > Apache, или, если не убого серьезные, не позволяют скриптов. Здесь, > в Болгарии, таких немало (обоих видов).
я сейчас вчитался и понял ещё вот что: не только CGI хотят юзеры. большинство хотят чтобы их файлы парсились mod_php и код брался из <?php ?> с этим что делать? такой код ведь запускается с теми же www-data правами и тоже может килять процессы -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
