On Wed, 2009-08-05 at 13:34 +0200, Wojciech Borowski wrote:
Poza tym, przecież o to chodzi, żeby można było czytać pliki z
public_html. Po to się je tam umieszcza. Jaka jest różnica czy
użytkownik zrobi http://serwer/~user/plik.txt, czy
~user/public_html/plik.txt?
Dodajmy, że można dać własność public_html dla $USER.www_data. To raz.
A dwa, że można dać prawa na 0711 dla katalogu. Wtedy można zrobić `cd
public_html', ale nie można w nim już zrobić 'ls' (chociaż można
otworzyć np. public_html/index.html, o ile się zna nazwę).
http://en.wikipedia.org/wiki/File_system_permissions#Traditional_Unix_permissions
Tak, tylko wtedy apach nie bedzie mogl listowac plikow i katalogow w
public_html
Rozumiem, ze nie ma roznicy czy ktos zrobi cata czy wywola z
przegladarki plik. A mam takich uzytownikow ktorzy maja same pliczki
wrzucone a niektorzy maja strony php i niechcialbym zeby nawzajem nie
mogli sobie podgladac zrodla stron.
Jeszcze raz chroot się kłania...
Jak sobie wyobrażasz robienie chrootów na 50 użytkowników? Każdemu pełne
środowisko? Przecież to się można pochlastać.
Chodzi przeciez o to zeby uzytkownik
nie mogl z shella podejrzec plikow. Przez http: to chyba jasne ze to
zrobi tak czy inaczej ( oczywiscie nie mowie o plikach .php gdyz sa
uruchamiane przed wyslaniem tresci strony do uzytkownika juz na
serwerze ) Jezeli chce zablokowac listowanie katalogow to do tego sa
pliki .htaccess.
Ale przecież przy 0710 z ownerem $USER.www-data, jeśli użytkownicy nie
należą do www-data (a nawet przy 0750) użytkownicy nie "wejdą" do
katalogu.