From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vlad@na.ru>
Message-ID: <00b801c0e374$7ce22200$4201a8c0@muc.beamgate.de>
From: "Vlad Vostrykh" <vlad@na.ru>
To: <mandrake-russian@altlinux.ru>
References: <20010516130020.324ad571.vyt@vzljot.ru> <3B0AF6F9.6080607@altlinux.ru> <20010523115755.B3155@localhost.localdomain>
Subject: Re: [mdk-re] LRN & database.inc
MIME-Version: 1.0
Content-Type: text/plain;
	charset="koi8-r"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.00.2919.6700
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2919.6700
Sender: mandrake-russian-admin@altlinux.ru
Errors-To: mandrake-russian-admin@altlinux.ru
X-BeenThere: mandrake-russian@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: mandrake-russian@altlinux.ru
List-Help: <mailto:mandrake-russian-request@altlinux.ru?subject=help>
List-Post: <mailto:mandrake-russian@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=subscribe>
List-Id: Linux-Mandrake RE / ALT Linux discussion list <mandrake-russian.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/mandrake-russian/>
Date: Wed May 23 14:32:04 2001
X-Original-Date: Wed, 23 May 2001 12:37:47 +0200
Archived-At: <http://lore.altlinux.org/community/00b801c0e374$7ce22200$4201a8c0@muc.beamgate.de/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

----- Original Message -----
From: "Mikhail Zabaluev" <mhz@alt-linux.org>
To: <mandrake-russian@altlinux.ru>
Sent: Wednesday, May 23, 2001 9:57 AM
Subject: Re: [mdk-re] LRN & database.inc


> Hello Anton,
>
> On Wed, May 23, 2001 at 03:32:09AM +0400, Anton Farygin wrote:
> >
> > Vyt wrote:
> >
> > > Hello, All
> > >
> > > Обнаружилось, что /var/www/html/LRN/database.inc имеет права
> > > -rw-r--r--    1 root     root         2228 Май 16 12:57 database.inc
> > >        ^
> > > А ведь там пароль для доступа к базе данных. Или это у меня что-то
> > > сглючило?
> >
> > Нет не сглючило.
> > На мой взгляд бесмысленно закрывать файл с паролем, который может
> > прочитать любой пользователь, положивший небольшой PHP скриптик к себе в
> > ~/public_html/ ;-(
> >
> > А те, кто действительно хочет закрыть - закроют его правами. Но все
> > равно он должен читаться для пользователя apache, что означает его
> > возможное открытие любым пользователм, который имеет права и умение
> > писать скрипты для своей странички.
>
> Можно и, наверное, даже нужно задать для PHP параметр open_basedir,
> где перечислить безопасный набор каталогов, в которых скрипты могут
> открывать файлы. Это, насколько я знаю, влияет и на require/include, и
> на exec и пр. Указание "." будет открывать для каждого скрипта его
> каталог. А в отдельных сайтах open_basedir можно расширять по вкусу.
Интересное решение :)
Но при этом люди не смогут свои параметры для PHP задавать, что иногда
бывает необходимо.
(А если смогут, то кто им помешает open_basedir прописать до вашего файла с
паролями? :))
В общем, аккуратно надо :)
Для случая с пользовательскими каталогами (http://server/~username) стоит
также посмотреть на параметр user_dir

> Пользовательские CGI _нужно_ запускать через suexec.
> Так что проблема решаема хотя бы теоретически.
_Теоретически_ проблема решается, насколько я понимаю, с приходом Apache 2
А практически (как вариант) -- запуском для каждого сервера своей копии
апача с отдельным User userId (необходимо, конечно, по отдельному ip и/или
порту для сайта)

WBR,
  Vlad Vostrykh