On Thu, Aug 20, 2009 at 08:19:04AM +0800, Денис wrote: > Peter Pentchev пишет: > > On Thu, Aug 20, 2009 at 07:56:57AM +0800, Денис wrote: > >> Peter Pentchev пишет: > >>> On Thu, Aug 20, 2009 at 07:45:21AM +0800, Денис wrote: > >>>> Иван Лох пишет: > >>>>> On Thu, Aug 20, 2009 at 04:13:16AM +0800, Денис wrote: > >>>>>> заливать свои сайты пользователи будут через WebDAV скорее всего, ну > >>>>>> может быть ещё через ftp. список имён-паролей тоже будет лежать у них в > >>>>>> директории > >>>>>> > >>>>>> Так же у пользователей должна быть возможность заливать и запускать > >>>>>> скрипты и прочую муру. > >>>>> ^^^^^^^^ > >>>>>> принадлежать все страницы будут пользователю типа www-data, видимо > >>>>>> > >>>>>> вопрос: как по debian way красиво разграничить этим пользователям > >>>>>> доступ > >>>>>> чтобы они друг-другу скриптами странички не портили? (да саму систему > >>>>>> от > >>>>>> этого тоже бы желательно защитить, если это возможно, конечно) > >>>>> Со скриптами IMHO, никак. Кто помешает скрипту убить _свой_ процесс или > >>>>> удалить _свой_ файл? > >>>> Ааа, стоп! Выходит, без suid в нужного юзера на уровне апача вообще > >>>> нельзя хостинг делать - юзеры будут друг-другу скрипты грохать? > >>> Точно. Или suid, или chroot, или оба. Suid - почти обязательний, > >>> из-за kill(1), setrlimit(2) и т.д. > >> Ага, вроде suid достаточно для закрытия директорий других пользователей. > >> Но suid апачем сейчас не поддерживается и все хостинги "простых > >> страничек" на апаче в интернете уязвимы? каррамба > > > > Чистый suid апачем поддерживается давным-давно - mod_suexec > > (и, как я говорил ранше, mod_suphp). Suid + chroot - другое дело. > > Я сильно подозреваю, что много из серьезных хостингов или допиливают > > Apache, или, если не убого серьезные, не позволяют скриптов. Здесь, > > в Болгарии, таких немало (обоих видов). > > я сейчас вчитался и понял ещё вот что: не только CGI хотят юзеры. > большинство хотят чтобы их файлы парсились mod_php и код брался из <?php ?> > > с этим что делать? такой код ведь запускается с теми же www-data правами > и тоже может килять процессы
В очередный раз, apt-get install libapache2-mod-suphp. Всего лучшего, Петр -- Peter Pentchev r...@ringlet.net r...@space.bg r...@freebsd.org PGP key: http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 If I were you, who would be reading this sentence?
pgpdyZRy0lCIS.pgp
Description: PGP signature
