Re: хост для простых сайтов на апаче
Peter Pentchev пишет:
> On Thu, Aug 20, 2009 at 07:56:57AM +0800, Денис wrote:
>> Peter Pentchev пишет:
>>> On Thu, Aug 20, 2009 at 07:45:21AM +0800, Денис wrote:
>>>> Иван Лох пишет:
>>>>> On Thu, Aug 20, 2009 at 04:13:16AM +0800, Денис wrote:
>>>>>> заливать свои сайты пользователи будут через WebDAV скорее всего, ну
>>>>>> может быть ещё через ftp. список имён-паролей тоже будет лежать у них в
>>>>>> директории
>>>>>>
>>>>>> Так же у пользователей должна быть возможность заливать и запускать
>>>>>> скрипты и прочую муру.
>>>>> ^^^^^^^^
>>>>>> принадлежать все страницы будут пользователю типа www-data, видимо
>>>>>>
>>>>>> вопрос: как по debian way красиво разграничить этим пользователям доступ
>>>>>> чтобы они друг-другу скриптами странички не портили? (да саму систему от
>>>>>> этого тоже бы желательно защитить, если это возможно, конечно)
>>>>> Со скриптами IMHO, никак. Кто помешает скрипту убить _свой_ процесс или
>>>>> удалить _свой_ файл?
>>>> Ааа, стоп! Выходит, без suid в нужного юзера на уровне апача вообще
>>>> нельзя хостинг делать - юзеры будут друг-другу скрипты грохать?
>>> Точно. Или suid, или chroot, или оба. Suid - почти обязательний,
>>> из-за kill(1), setrlimit(2) и т.д.
>> Ага, вроде suid достаточно для закрытия директорий других пользователей.
>> Но suid апачем сейчас не поддерживается и все хостинги "простых
>> страничек" на апаче в интернете уязвимы? каррамба
>
> Чистый suid апачем поддерживается давным-давно - mod_suexec
> (и, как я говорил ранше, mod_suphp). Suid + chroot - другое дело.
> Я сильно подозреваю, что много из серьезных хостингов или допиливают
> Apache, или, если не убого серьезные, не позволяют скриптов. Здесь,
> в Болгарии, таких немало (обоих видов).
я сейчас вчитался и понял ещё вот что: не только CGI хотят юзеры.
большинство хотят чтобы их файлы парсились mod_php и код брался из <?php ?>
с этим что делать? такой код ведь запускается с теми же www-data правами
и тоже может килять процессы
Reply to: