man2D Опубликовано 10 октября, 2005 Жалоба Поделиться Опубликовано 10 октября, 2005 Собственно, хотел поговорить об этом. Психолог в отпуске . Нашёл неплохую статью по настройке apache от Stricty. http://www.opennet.ru/base/dev/php4unix.txt.html Там ничего не сказано о настройке каталогов других пользователей. Мне непонятно вот что. В httpd.conf указываем open_basedir как /home/username. Тогда пользователь nobody/www, от которого запускаются скрипты может изменять/читать файлы из этого каталога. Допустим, я пропишу open_basedir как /home. Тогда скрипт сможет изменять директории других пользователей. А это плохо. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
root_ Опубликовано 11 октября, 2005 Жалоба Поделиться Опубликовано 11 октября, 2005 И в чем конкретно проблема... Да, если ты разрешиш работать с папкой /home то фактичеки ты разрешиш nobody запускать скрипты из этой папки. Все дело в том что по умолчанию в *nix системах доступ к папкам пользователей ограничен. Я не думаю что какие-то скрипты смогут обойти систему безопастности *nixов. Т.е. скрипты из папки /home. не смогут изменить другие папки, если специально не изменить права на папки пользователей. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
man2D Опубликовано 11 октября, 2005 Автор Жалоба Поделиться Опубликовано 11 октября, 2005 root_: Я имел ввиду нечто другое. Пользователь qwerty может с помощью скрипта изменить содержимое домашней папки пользователя asdf, т.к. владельцем папки /home будет nobody, от лица которого запускаются php-скрипты. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
root_ Опубликовано 11 октября, 2005 Жалоба Поделиться Опубликовано 11 октября, 2005 /home - владелец nobody /home/asdf - владелец asdfg /home/qwert - владлец qwerty Если у пользователя nobody есть права на запись и изменение /home, то он легко сможет исправить с помощью скриптов и /home/asdf и /home/qwerty. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
man2D Опубликовано 11 октября, 2005 Автор Жалоба Поделиться Опубликовано 11 октября, 2005 root_: О том и речь... Один пользователь сможет стереть каталог другого пользователя. Как этого избежать? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
root_ Опубликовано 11 октября, 2005 Жалоба Поделиться Опубликовано 11 октября, 2005 man2D: а зачем тебе давать права nobody на папку /home? Нельзя как то по другому реализовать, в чем вообще стоит задача? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
man2D Опубликовано 11 октября, 2005 Автор Жалоба Поделиться Опубликовано 11 октября, 2005 root_: Задача состоит в том, чтобы, скажем, пользователь qwerty мог с помощью php-скрипта изменять chmod на файлы в своём каталоге (/home/qwerty). Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
root_ Опубликовано 11 октября, 2005 Жалоба Поделиться Опубликовано 11 октября, 2005 man2D: А все скрипты запускаются от nobody, и естественно нужно что бы один пользователь не могу ничего сделать с другим?! И у каждого есть своя папка и своя группа. Ну я так понимаю что права на чтение и выполнение тебе в любом случаи нужно дать nobody - но тогда любой пользователь сможет посмотреть папку другого пользователя, а это не хорошо... получается что nobody должен только выполнят скрипты, а доступ к папкам осуществлятся только на уровне пользлвателей. chmod 001 /home для nobody и потом соответственно каждому свои права. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
man2D Опубликовано 11 октября, 2005 Автор Жалоба Поделиться Опубликовано 11 октября, 2005 Фууф, разобрался. У папки /home/qwerty должен быть владелец nobody, группа qwerty. Спасибо root_. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
man2D Опубликовано 15 октября, 2005 Автор Жалоба Поделиться Опубликовано 15 октября, 2005 Блин, выручайте . Сделал chown -R apache:apache /home/user, теперь скрипт работает, chmod() с помощью скрипта изменяется. Но потерялся доступ по FTP. Как бы всю эту мутотень настроить по-умному? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.