Vynuceny reload prav
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Neděle Srpen 6 18:55:57 CEST 2006
On Wed, 2 Aug 2006, Ondřej Tůma wrote:
> tím zaručím že do adresáře se dostanou pouze uživatelé ze skupiny
> domena.xy, problém ale nastává, kdy založím skupinu, adresáře a
> uživatele ve skupinách, a pak přidám důležité uživatele do skupiny
> domena.xy, tedy dejme tomu uživatele www a postfix. Problém ale je že
> pod těmito uživateli běží služby, a aby "získaly práva" do těchto
> adresářů, musel bych služby restartovat. A to se mi moc nechce :(
Udělejte to naopak: použijte ACL nebo něco takového a povolte přístup do
těch adresářů přímo jmenovaným systémovým účtům.
I když zrovna třeba u toho webu bych si s tím moc násilí nedělal. Pokud
tam mají nějaká moc tajná data, do kterých by jim neměli jiní uživatelé
strkat nos, tak nejlépe udělají, pokud data strčí úplně mimo publikovaný
strom, kam nebude mít webserver přímý přístup, a pokud se mají objevit na
webu, tak zprostředkovaně přes nějaké cgičko (pochopitelně spouštěné pod
nějakým uživatelem z té domény a ne pod tím samým, pod kterým běží
webserver).
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux