Re: хост для простых сайтов на апаче

To: debian-russian@lists.debian.org
Subject: Re: хост для простых сайтов на апаче
From: Peter Pentchev <roam@ringlet.net>
Date: Thu, 20 Aug 2009 03:21:53 +0300
Message-id: <[🔎] 20090820002153.GG1056@straylight.m.ringlet.net>
In-reply-to: <[🔎] 4A8C9678.7080403@gmail.com>
References: <[🔎] 4A8C5CDC.3010701@gmail.com> <[🔎] 20090819221028.GD8063@nano.ioffe.rssi.ru> <[🔎] 4A8C8E91.6090107@gmail.com> <[🔎] 20090819235146.GE1056@straylight.m.ringlet.net> <[🔎] 4A8C9149.2020505@gmail.com> <[🔎] 20090820001619.GF1056@straylight.m.ringlet.net> <[🔎] 4A8C9678.7080403@gmail.com>

On Thu, Aug 20, 2009 at 08:19:04AM +0800, Денис wrote:
> Peter Pentchev пишет:
> > On Thu, Aug 20, 2009 at 07:56:57AM +0800, Денис wrote:
> >> Peter Pentchev пишет:
> >>> On Thu, Aug 20, 2009 at 07:45:21AM +0800, Денис wrote:
> >>>> Иван Лох пишет:
> >>>>> On Thu, Aug 20, 2009 at 04:13:16AM +0800, Денис wrote:
> >>>>>> заливать свои сайты пользователи будут через WebDAV скорее всего, ну
> >>>>>> может быть ещё через ftp. список имён-паролей тоже будет лежать у них в
> >>>>>> директории
> >>>>>>
> >>>>>> Так же у пользователей должна быть возможность заливать и запускать
> >>>>>> скрипты и прочую муру.
> >>>>>  ^^^^^^^^
> >>>>>> принадлежать все страницы будут пользователю типа www-data, видимо
> >>>>>>
> >>>>>> вопрос: как по debian way красиво разграничить этим пользователям доступ
> >>>>>> чтобы они друг-другу скриптами странички не портили? (да саму систему от
> >>>>>> этого тоже бы желательно защитить, если это возможно, конечно)
> >>>>> Со скриптами IMHO, никак. Кто помешает скрипту убить _свой_ процесс или
> >>>>> удалить _свой_ файл? 
> >>>> Ааа, стоп! Выходит, без suid в нужного юзера на уровне апача вообще
> >>>> нельзя хостинг делать - юзеры будут друг-другу скрипты грохать?
> >>> Точно.  Или suid, или chroot, или оба.  Suid - почти обязательний,
> >>> из-за kill(1), setrlimit(2) и т.д.
> >> Ага, вроде suid достаточно для закрытия директорий других пользователей.
> >> Но suid апачем сейчас не поддерживается и все хостинги "простых
> >> страничек" на апаче в интернете уязвимы? каррамба
> > 
> > Чистый suid апачем поддерживается давным-давно - mod_suexec
> > (и, как я говорил ранше, mod_suphp).  Suid + chroot - другое дело.
> > Я сильно подозреваю, что много из серьезных хостингов или допиливают
> > Apache, или, если не убого серьезные, не позволяют скриптов.  Здесь,
> > в Болгарии, таких немало (обоих видов).
> 
> я сейчас вчитался и понял ещё вот что: не только CGI хотят юзеры.
> большинство хотят чтобы их файлы парсились mod_php и код брался из <?php  ?>
> 
> с этим что делать? такой код ведь запускается с теми же www-data правами
> и тоже может килять процессы

В очередный раз, apt-get install libapache2-mod-suphp.

Всего лучшего,
Петр

-- 
Peter Pentchev	roam@ringlet.net    roam@space.bg    roam@FreeBSD.org
PGP key:	http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint	FDBA FD79 C26F 3C51 C95E  DF9E ED18 B68D 1619 4553
If I were you, who would be reading this sentence?

Attachment: pgpvMgv_xA1aO.pgp
Description: PGP signature

Reply to:

References:
- хост для простых сайтов на апаче
  - From: Денис <feklushkin.denis@gmail.com>
- Re: хост для простых сайтов на апаче
  - From: Иван Лох <loh@1917.com>
- Re: хост для простых сайтов на апаче
  - From: Денис <feklushkin.denis@gmail.com>
- Re: хост для простых сайтов на апаче
  - From: Peter Pentchev <roam@ringlet.net>
- Re: хост для простых сайтов на апаче
  - From: Денис <feklushkin.denis@gmail.com>
- Re: хост для простых сайтов на апаче
  - From: Peter Pentchev <roam@ringlet.net>
- Re: хост для простых сайтов на апаче
  - From: Денис <feklushkin.denis@gmail.com>

Prev by Date: Re: хост для простых сайтов на апаче
Next by Date: Re: Re: Программирование на функциональных языках - как научить?
Previous by thread: Re: хост для простых сайтов на апаче
Next by thread: Re: хост для простых сайтов на апаче
Index(es):
- Date
- Thread