shared hosting - разграничение прав

Linux, безопасность, сети и все что с этим связано
Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

bobrik писал(а):Ага, только вот где тут решение? если все юзеры www-data могут читать у друг друга конфиги?!
Ну и пусть читает www-data конфиги, тебе что, жалко чтоли, там один лишь httpd крутится с таким uid'ом. Скрипты-то работаю все равно под своими юзерами.



tes+or,
1. Уже ответили
2. SCGI, FCGI, FastCGI
3. В даном случае имеется ввиду веб-сервер работающи на непривелегированом порту с привелегиями простого пользователя.
4. уже ответили
Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Сообщение tes+or »

1.так я знаю что такое suexec, но оно работает только с CGI, если там модуль какой-то, то оно, как я понял, уже не работает. т.е. я настраивал даже, у меня mod_php5 стоит, так оно с пхп неработало, или я криворукий.

2.т.е. это другой сервер по сути? там так сходу непонятно.

3.а перенаправлять на него сквидом или NATом?

4.стремное что-то.. потом разберусь.

а mpm-peruser тем временем отлично работает.

Аватара пользователя
mend0za
Неотъемлемая часть форума
Сообщения: 2332
Зарегистрирован: 30 авг 2002, 12:33
Откуда: Minsk

Сообщение mend0za »

tes+or,

1. посмотри на suphp, аналог suexec для php
И увидел я зверя, выходящего из тундры. И число его было 3.14159265358979324...

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Сообщение tes+or »

хм.. а если я юзаю mod_perl и еще mod_черт_знает_какой_язык, то работать это небудет..

вобщем буду иметь в виду как вариант для отката в случае если этот модуль не соберется при очередном обновлении. прейду на CGI во всем, кроме php, разумно?

ох, чувствую надо мне толстую книжку про апач прочитать, ато я плаваю в теме.

Аватара пользователя
bobrik
Неотъемлемая часть форума
Сообщения: 313
Зарегистрирован: 17 авг 2005, 12:42
Откуда: Витебск
Контактная информация:

Сообщение bobrik »

Llama, я не смогу прочитать файлы другого юзера?
http://bobrik.name - я не вар'ят

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

tes+or писал(а): 1.так я знаю что такое suexec, но оно работает только с CGI, если там модуль какой-то, то оно, как я понял, уже не работает. т.е. я настраивал даже, у меня mod_php5 стоит, так оно с пхп неработало, или я криворукий.
Я третий раз пишу в этой теме. SUPHP mod_suphp и все.
tes+or писал(а): 2.т.е. это другой сервер по сути? там так сходу непонятно.
Протоко взаимодействия между сервером и внешним приложением.
tes+or писал(а): 3.а перенаправлять на него сквидом или NATом?
Средствами основного веб-сервера.
tes+or писал(а): хм.. а если я юзаю mod_perl и еще mod_черт_знает_какой_язык, то работать это небудет..
А если юзать mod_perl на основном сервере - то о секьюрити говрить вообще глуко. Ибо правильно написаный скрипт посредством mod_perl перехватит обработку запросов на уровне чуть выше установкі соединения, и ни о каком разделении привелегий я смысла говорить не вижу. Эти модули делались либо для тонкого издевтельства над апачем посредством высокоуровневых язков, либо для использования апача как скриптового контейнера (кстати, крайне неудачная идея). Иными словами - на шареном хостинге, вредны, опасны и не нужны в массовом порядке.
И еще: на рабочей системе КОМПИЛЯТОРА БЫТЬ НЕ ДОЛЖНО
bobrik писал(а): Llama, я не смогу прочитать файлы другого юзера?

Не сможешь, если юзер сам этого не позволит, до тех пор пока не проексплойтишь баг в ядре либо в веб-сервере.
Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Сообщение tes+or »

>Я третий раз пишу в этой теме. SUPHP mod_suphp и все.

да, я понимаю. но если я ставлю suexec+suphp+mod_что-то, то что-то не работает как надо. я понимаю что мод_что-то можно не ставить, посто хочу узнать правильно ли я понял.

>Иными словами - на шареном хостинге, вредны, опасны и не нужны в массовом порядке.

я пока не совсем во состоянии понять почему, но верю. потом пойму.

>И еще: на рабочей системе КОМПИЛЯТОРА БЫТЬ НЕ ДОЛЖНО

верю, но хочу понять почему. компилятора чего, кстати? не гцц надеюсь?

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

tes+or писал(а): да, я понимаю. но если я ставлю suexec+suphp+mod_что-то, то что-то не работает как надо. я понимаю что мод_что-то можно не ставить, посто хочу узнать правильно ли я понял.
Оно-то работает, тлько это будет дырища в безопастности.
tes+or писал(а): верю, но хочу понять почему. компилятора чего, кстати? не гцц надеюсь?
Потому что рабочая система не предназначена для компиляции чего-либо не предназначена.
Именно gcc и не должно быть, ровно как и прочих.
Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
bobrik
Неотъемлемая часть форума
Сообщения: 313
Зарегистрирован: 17 авг 2005, 12:42
Откуда: Витебск
Контактная информация:

Сообщение bobrik »

Я наверное чего-то недопонимаю, поясните. Я и некто сидят в группе www-data. В определенной папке лежит файл blah с правами 0640 (естественно, www-data группа у него). Так почему, черт побери, я не смогу его прочитать?
http://bobrik.name - я не вар'ят

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

bobrik, учимся читать внимательно!

1) Где я написал что файлы принадлежат группе www-data ?
2) Где я написал что хоть ктото включается в группу www-data ?
Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Сообщение tes+or »

>Оно-то работает, тлько это будет дырища в безопастности.
странно, у меня не работало.. попробую еще раз, если понадобится

>Потому что рабочая система не предназначена для компиляции чего-либо не предназначена.

дженту без компилятора это просто прелестно=) может его как-то блокировать для юзеров?

хотя я вобщем то всем кто у меня пока что есть более менее доверяю, у меня фри хостинг для узкого круга ограниченных лиц=)

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

tes+or, gentoo, FreeBSD и LFS прекрасно обходятся без компилятора. просто должно быть еще пара систем, одна из которых - сборочная, вторая - тестовая. Ну и софт устанавливать только бинарными пакетами.
Естественно, в случае промышленных дистрибутивов вопросы компиляции и тестирований за тебя решает поризводитель, но тут уж ты сам хозяин свободного времени - если его много - поддерживай инфраструктуру и компилируй.
Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Сообщение tes+or »

хм.. а почему бы не объеденить сборочную и тестовую? и как переносить собранные бинари на рабочую?

потому что когданибудь я куплю нормальный сервак, а этот можно будет использовать как раз для этих целей.

Аватара пользователя
bobrik
Неотъемлемая часть форума
Сообщения: 313
Зарегистрирован: 17 авг 2005, 12:42
Откуда: Витебск
Контактная информация:

Сообщение bobrik »

2)
> adduser www-data hostinguser1
> adduser www-data hostinguser2
> adduser www-data hostinguser3

1)
> после этого можно ставить на файлы 640 и 750 - на каталоге

Я что-то не так понял?
http://bobrik.name - я не вар'ят

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

man adduser писал(а): adduser [options] user group
Опыт растет прямо пропорционально выведенному из строя оборудованию

Ответить