pristup do /home/user/public_html

David Toman toman na spszl.cz
Sobota Prosinec 29 22:08:11 CET 2001 

Wednesday 26 December 2001 23:32 Slavek Banko wrote>
>Ano, pro zpřístupnění uživatelských stránek (http://server/~uživatel)
>stačí "x" pro ostatní na osobní složce uživatele (/home/uživatel) a
>složce html či public_html. Považuji však toto řešení za nesprávné!

>Osobní složka uživatele je, dle mého názoru, výsostným územím dotyčného
>uživatele kam nikdo jiný nesmí mít přístup (vyjma všemocného roota ;).
>Povolením vstupu všem uživatelům se ale toto soukromí výrazně naruší!
>Kdokoliv pak může zkoušet obvyklá jména souborů a složek a je téměř
>jisté, že nalezne nějakou skulinku - tedy nějaké další soubory či složky,
>které třeba bude moci i číst!

Povoleni pro cteni je "pouze" pro ostatni uzivatele - vetsina uzivatelu byva 
ve skupine "users" takze navzajem nemaji do svych adresaru pristup.

Pokud existuje vice skupin tak je mozne si zmenit u svych souboru prava tak 
aby pristup k nim mel pouze jejich majitel - rw(x)------ takze ikdyz budou 
hadat nazvy tak se k nicemu nedostanout. Budou sice ve vasem adresari ale 
nebudou mit moznost si nic precist.

>Proto preferuji takové řešení, že ve složce patřící HTTP démonovi
>(/home/httpd/, /var/www/, apod.) vytvořím složku users, kde každý
>uživatel má svou vlastní složku. Aby ji uživatel neměl tak z ruky,
>vytvořím mu v jeho osobní složce symlink... Pro uživatele se tedy
>prakticky nic nezmění. A v konfiguraci httpd stačí změnit UserDir
>například na "/var/www/users/*".

Taky moznost, ale stale tu zustava ten problem, ze uzivatele budou mit 
moznost si navzajem cist svoje php skripty (pokud existuji) a v nich byvaji 
taky dulezite informace - treba hesla do SQL.

A i kdyby byly vsichni ve skupine users, a pravo cteni by meli jen uzivatele 
v jine skupine nez users,  tak je tu stale moznost se k tem souborum dostat. 
Treba pomoci skriptu v php (ty bezi pod nobody) - tomu se da zabranit 
(nastavenim v php), nebo jinym zpusobem (treba pomoci symlinku kdy se zobrazi 
neinterpretovany skript) nebo jinymi zpusoby, ktere urcite existuji.

Takze zas tak jednoduche to nebude :(

-- 
		S pozdravem David Toman

email: dato na centrum.cz toman na spszl.cz
Tel: 0603 90 11 24
SMS: sms na click.cz
Registered Linux user #247365

Další informace o konferenci Linux