From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: Mikhail Zabaluev To: mandrake-russian@altlinux.ru Subject: Re: [mdk-re] LRN & database.inc Message-ID: <20010523115755.B3155@localhost.localdomain> Mail-Followup-To: Mikhail Zabaluev , mandrake-russian@altlinux.ru References: <20010516130020.324ad571.vyt@vzljot.ru> <3B0AF6F9.6080607@altlinux.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit User-Agent: Mutt/1.2.5i In-Reply-To: <3B0AF6F9.6080607@altlinux.ru>; from rider@altlinux.ru on Wed, May 23, 2001 at 03:32:09AM +0400 Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Linux-Mandrake RE / ALT Linux discussion list List-Unsubscribe: , List-Archive: Date: Wed May 23 11:42:01 2001 X-Original-Date: Wed, 23 May 2001 11:57:55 +0400 Archived-At: List-Archive: List-Post: Hello Anton, On Wed, May 23, 2001 at 03:32:09AM +0400, Anton Farygin wrote: > > Vyt wrote: > > > Hello, All > > > > Обнаружилось, что /var/www/html/LRN/database.inc имеет права > > -rw-r--r-- 1 root root 2228 Май 16 12:57 database.inc > > ^ > > А ведь там пароль для доступа к базе данных. Или это у меня что-то > > сглючило? > > Нет не сглючило. > На мой взгляд бесмысленно закрывать файл с паролем, который может > прочитать любой пользователь, положивший небольшой PHP скриптик к себе в > ~/public_html/ ;-( > > А те, кто действительно хочет закрыть - закроют его правами. Но все > равно он должен читаться для пользователя apache, что означает его > возможное открытие любым пользователм, который имеет права и умение > писать скрипты для своей странички. Можно и, наверное, даже нужно задать для PHP параметр open_basedir, где перечислить безопасный набор каталогов, в которых скрипты могут открывать файлы. Это, насколько я знаю, влияет и на require/include, и на exec и пр. Указание "." будет открывать для каждого скрипта его каталог. А в отдельных сайтах open_basedir можно расширять по вкусу. Пользовательские CGI _нужно_ запускать через suexec. Так что проблема решаема хотя бы теоретически. -- Stay tuned, MhZ JID: mookid@jabber.org ___________ If this is a service economy, why is the service so bad?