Страница 2 из 3
Добавлено: 03 сен 2007, 21:10
Llama
bobrik писал(а):Ага, только вот где тут решение? если все юзеры www-data могут читать у друг друга конфиги?!
Ну и пусть читает www-data конфиги, тебе что, жалко чтоли, там один лишь httpd крутится с таким uid'ом. Скрипты-то работаю все равно под своими юзерами.
tes+or,
1. Уже ответили
2. SCGI, FCGI, FastCGI
3. В даном случае имеется ввиду веб-сервер работающи на непривелегированом порту с привелегиями простого пользователя.
4. уже ответили
Добавлено: 04 сен 2007, 22:55
tes+or
1.так я знаю что такое suexec, но оно работает только с CGI, если там модуль какой-то, то оно, как я понял, уже не работает. т.е. я настраивал даже, у меня mod_php5 стоит, так оно с пхп неработало, или я криворукий.
2.т.е. это другой сервер по сути? там так сходу непонятно.
3.а перенаправлять на него сквидом или NATом?
4.стремное что-то.. потом разберусь.
а mpm-peruser тем временем отлично работает.
Добавлено: 04 сен 2007, 23:39
mend0za
tes+or,
1. посмотри на suphp, аналог suexec для php
Добавлено: 04 сен 2007, 23:46
tes+or
хм.. а если я юзаю mod_perl и еще mod_черт_знает_какой_язык, то работать это небудет..
вобщем буду иметь в виду как вариант для отката в случае если этот модуль не соберется при очередном обновлении. прейду на CGI во всем, кроме php, разумно?
ох, чувствую надо мне толстую книжку про апач прочитать, ато я плаваю в теме.
Добавлено: 05 сен 2007, 18:01
bobrik
Llama, я не смогу прочитать файлы другого юзера?
Добавлено: 06 сен 2007, 00:50
Llama
tes+or писал(а):
1.так я знаю что такое suexec, но оно работает только с CGI, если там модуль какой-то, то оно, как я понял, уже не работает. т.е. я настраивал даже, у меня mod_php5 стоит, так оно с пхп неработало, или я криворукий.
Я третий раз пишу в этой теме.
SUPHP mod_suphp и все.
tes+or писал(а):
2.т.е. это другой сервер по сути? там так сходу непонятно.
Протоко взаимодействия между сервером и внешним приложением.
tes+or писал(а):
3.а перенаправлять на него сквидом или NATом?
Средствами основного веб-сервера.
tes+or писал(а):
хм.. а если я юзаю mod_perl и еще mod_черт_знает_какой_язык, то работать это небудет..
А если юзать mod_perl на основном сервере - то о секьюрити говрить вообще глуко. Ибо правильно написаный скрипт посредством mod_perl перехватит обработку запросов на уровне чуть выше установкі соединения, и ни о каком разделении привелегий я смысла говорить не вижу. Эти модули делались либо для тонкого издевтельства над апачем посредством высокоуровневых язков, либо для использования апача как скриптового контейнера (кстати, крайне неудачная идея). Иными словами - на шареном хостинге, вредны, опасны и не нужны в массовом порядке.
И еще: на рабочей системе КОМПИЛЯТОРА БЫТЬ НЕ ДОЛЖНО
bobrik писал(а):
Llama, я не смогу прочитать файлы другого юзера?
Не сможешь, если юзер сам этого не позволит, до тех пор пока не проексплойтишь баг в ядре либо в веб-сервере.
Добавлено: 06 сен 2007, 02:35
tes+or
>Я третий раз пишу в этой теме. SUPHP mod_suphp и все.
да, я понимаю. но если я ставлю suexec+suphp+mod_что-то, то что-то не работает как надо. я понимаю что мод_что-то можно не ставить, посто хочу узнать правильно ли я понял.
>Иными словами - на шареном хостинге, вредны, опасны и не нужны в массовом порядке.
я пока не совсем во состоянии понять почему, но верю. потом пойму.
>И еще: на рабочей системе КОМПИЛЯТОРА БЫТЬ НЕ ДОЛЖНО
верю, но хочу понять почему. компилятора чего, кстати? не гцц надеюсь?
Добавлено: 06 сен 2007, 09:33
Llama
tes+or писал(а):
да, я понимаю. но если я ставлю suexec+suphp+mod_что-то, то что-то не работает как надо. я понимаю что мод_что-то можно не ставить, посто хочу узнать правильно ли я понял.
Оно-то работает, тлько это будет дырища в безопастности.
tes+or писал(а):
верю, но хочу понять почему. компилятора чего, кстати? не гцц надеюсь?
Потому что рабочая система не предназначена для компиляции чего-либо не предназначена.
Именно gcc и не должно быть, ровно как и прочих.
Добавлено: 06 сен 2007, 14:58
bobrik
Я наверное чего-то недопонимаю, поясните. Я и некто сидят в группе www-data. В определенной папке лежит файл blah с правами 0640 (естественно, www-data группа у него). Так почему, черт побери, я не смогу его прочитать?
Добавлено: 06 сен 2007, 15:36
Llama
bobrik, учимся читать внимательно!
1) Где я написал что файлы принадлежат группе www-data ?
2) Где я написал что хоть ктото включается в группу www-data ?
Добавлено: 06 сен 2007, 16:31
tes+or
>Оно-то работает, тлько это будет дырища в безопастности.
странно, у меня не работало.. попробую еще раз, если понадобится
>Потому что рабочая система не предназначена для компиляции чего-либо не предназначена.
дженту без компилятора это просто прелестно=) может его как-то блокировать для юзеров?
хотя я вобщем то всем кто у меня пока что есть более менее доверяю, у меня фри хостинг для узкого круга ограниченных лиц=)
Добавлено: 06 сен 2007, 17:12
Llama
tes+or, gentoo, FreeBSD и LFS прекрасно обходятся без компилятора. просто должно быть еще пара систем, одна из которых - сборочная, вторая - тестовая. Ну и софт устанавливать только бинарными пакетами.
Естественно, в случае промышленных дистрибутивов вопросы компиляции и тестирований за тебя решает поризводитель, но тут уж ты сам хозяин свободного времени - если его много - поддерживай инфраструктуру и компилируй.
Добавлено: 06 сен 2007, 17:27
tes+or
хм.. а почему бы не объеденить сборочную и тестовую? и как переносить собранные бинари на рабочую?
потому что когданибудь я куплю нормальный сервак, а этот можно будет использовать как раз для этих целей.
Добавлено: 06 сен 2007, 18:40
bobrik
2)
> adduser www-data hostinguser1
> adduser www-data hostinguser2
> adduser www-data hostinguser3
1)
> после этого можно ставить на файлы 640 и 750 - на каталоге
Я что-то не так понял?
Добавлено: 06 сен 2007, 19:49
Llama
man adduser писал(а):
adduser [options] user group