pristup do /home/user/public_html
David Toman
toman na spszl.cz
Sobota Prosinec 29 22:08:11 CET 2001
Wednesday 26 December 2001 23:32 Slavek Banko wrote>
>Ano, pro zpřístupnění uživatelských stránek (http://server/~uživatel)
>stačí "x" pro ostatní na osobní složce uživatele (/home/uživatel) a
>složce html či public_html. Považuji však toto řešení za nesprávné!
>Osobní složka uživatele je, dle mého názoru, výsostným územím dotyčného
>uživatele kam nikdo jiný nesmí mít přístup (vyjma všemocného roota ;).
>Povolením vstupu všem uživatelům se ale toto soukromí výrazně naruší!
>Kdokoliv pak může zkoušet obvyklá jména souborů a složek a je téměř
>jisté, že nalezne nějakou skulinku - tedy nějaké další soubory či složky,
>které třeba bude moci i číst!
Povoleni pro cteni je "pouze" pro ostatni uzivatele - vetsina uzivatelu byva
ve skupine "users" takze navzajem nemaji do svych adresaru pristup.
Pokud existuje vice skupin tak je mozne si zmenit u svych souboru prava tak
aby pristup k nim mel pouze jejich majitel - rw(x)------ takze ikdyz budou
hadat nazvy tak se k nicemu nedostanout. Budou sice ve vasem adresari ale
nebudou mit moznost si nic precist.
>Proto preferuji takové řešení, že ve složce patřící HTTP démonovi
>(/home/httpd/, /var/www/, apod.) vytvořím složku users, kde každý
>uživatel má svou vlastní složku. Aby ji uživatel neměl tak z ruky,
>vytvořím mu v jeho osobní složce symlink... Pro uživatele se tedy
>prakticky nic nezmění. A v konfiguraci httpd stačí změnit UserDir
>například na "/var/www/users/*".
Taky moznost, ale stale tu zustava ten problem, ze uzivatele budou mit
moznost si navzajem cist svoje php skripty (pokud existuji) a v nich byvaji
taky dulezite informace - treba hesla do SQL.
A i kdyby byly vsichni ve skupine users, a pravo cteni by meli jen uzivatele
v jine skupine nez users, tak je tu stale moznost se k tem souborum dostat.
Treba pomoci skriptu v php (ty bezi pod nobody) - tomu se da zabranit
(nastavenim v php), nebo jinym zpusobem (treba pomoci symlinku kdy se zobrazi
neinterpretovany skript) nebo jinymi zpusoby, ktere urcite existuji.
Takze zas tak jednoduche to nebude :(
--
S pozdravem David Toman
email: dato na centrum.cz toman na spszl.cz
Tel: 0603 90 11 24
SMS: sms na click.cz
Registered Linux user #247365
Další informace o konferenci Linux