jeste apache

David Trcka trcka na poda.cz
Pátek Červen 23 12:03:22 CEST 2000 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Fri, 23 Jun 2000, Pavel Kankovsky wrote:

> Eh? Jak jsem byl vysvetlil, tak to, co chcete, je neuzitecny nesmysl. Vam
> to nepripada jako rozumny duvod, proc takovou funkci neposkytovat? :)
> 
Ale jisteze ano. Jen mi to pridela praci. Asi bych mel vysvetlit, o co mi
vlastne jde.
Jde mi o to, ze kdyz si uzivatel jednoho virtualu vytvori pomoci skriptu
nejaky soubor, tak jsou v zasade 2 moznosti (ostatni jsou variace na
jejich tema):
1. soubor vznikl nejakou akci cgi-skriptu, pak musim pouzit spravne
nakonfigurovany suexec a pohrat si s pristupovymi pravy
2. soubor vznikl nejakou akci PHP a spol., takze si musim pohrat s
konfiguracnimi volbami jako php3_open_basedir, php3_safe_mode apod.,
protoze mod_php to zpracuje jako nobody.

Jinak muzou uzivatele jinych virtualu tvorici na nich skripty a stranky
ten puvodne vytvoreny dokument jineho virtualu (po kterem jim vubec nic
neni) bud pouze cist (lepsi pripad) nebo snad dokonce i zapisovat (ten
uplne nejhorsi pripad).
Kdyby mohl kazdy virtual bezet pod jinym uzivatelem se vsim vsudy, tak by
se to vyresilo prostymi pravy 0700 pro toho uzivatele na cely
document_root a je po ptakach.
Me argumenty se nesnazi jit smerem jak neco nejde, ale jak musim neco
resit pomerne slozite, a tim padem riskuju, ze nekde seknu blbou chybu.
Sance seknout blbou chybu by se snizila, kdyby nekde existoval dokument
popisujici, jak tohle vyresit. Bohuzel jsem zadny neobjevil. Mozna jen
spatne hledam. Nebo to snad resim jenom ja? To se mi nezda.

Takze abych to shrnul:
Abych zajistil, ze webmasteri jednotlivych virtualu nemohou programove
pristupovat do jinych virtualu, musim zaridit:
1. aby cgi spoustel suexec jako ten spravny uzivatel
2. aby php a jine veci (SSI) nemohly mimo document_root a ani nemohly
spoustet programy (napr. /bin/ls, /bin/cat), ktere tam mohou
3. aby apache jako nobody mohl vsude
4. aby v ramci jednoho virtualu mohly cgi a php cist/zapisovat tytez
soubory
5. v souvislosti s bodem 4. aby ty soubory nebo adresare, v kterych lezi,
nebyly world writable.

Pritom potrebuju, aby to vsechno byly virtualni servery jednoho web-demona
(celkem fuk jestli IP-based nebo name-based).
Priznam se ze nevim, jak tohle vsechno skloubit.

Pokud tahle diskuse konferenci obtezuje, neni problem se presunout do
soukromych mailu, ale IMHO by to mohlo dost lidi zajimat.

__________________________________________
    David Trcka, network administrator
  PODA s.r.o., Internet Service Provider
Ostrava, 28. rijna 150, The Czech Republic
        Voice/Fax: +420 69 6612600
        PGP KeyID: DAE55DA4

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.1 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE5UzXs5z9w2trlXaQRAutxAKDePv+42O1hBfmEpc5DE1VGRMOtvwCfXxK8
e6My8rfHp581Q97tpWkUcsM=
=4jEh
-----END PGP SIGNATURE-----

Další informace o konferenci Linux