* [mdk-re] (no subject) @ 2002-03-12 18:11 Michael Bykov 2002-03-12 19:52 ` [mdk-re] " Michael Shigorin 2002-03-12 22:07 ` [mdk-re] Re: (no subject) Konstantin Lepikhov 0 siblings, 2 replies; 13+ messages in thread From: Michael Bykov @ 2002-03-12 18:11 UTC (permalink / raw) To: mandrake Как защитить от чтения любым пользователем апачевских директорий? Если пользователь с одного виртуального хоста не хочет, чтобы его файлы читались другим? Они же имеют права "читать остальным", потому что апач - ноубоди? -- M. ^ permalink raw reply [flat|nested] 13+ messages in thread
* [mdk-re] Re: (no subject) 2002-03-12 18:11 [mdk-re] (no subject) Michael Bykov @ 2002-03-12 19:52 ` Michael Shigorin 2002-03-12 20:07 ` Sergey Vlasov 2002-03-12 20:20 ` Michael Bykov 2002-03-12 22:07 ` [mdk-re] Re: (no subject) Konstantin Lepikhov 1 sibling, 2 replies; 13+ messages in thread From: Michael Shigorin @ 2002-03-12 19:52 UTC (permalink / raw) To: mandrake On Tue, Mar 12, 2002 at 06:20:18PM +0300, Michael Bykov wrote: > Как защитить от чтения любым пользователем апачевских директорий? > Если пользователь с одного виртуального хоста не хочет, чтобы его > файлы читались другим? Они же имеют права "читать остальным", > потому что апач - ноубоди? Смотреть во всякие suexec или разводить апачей... -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ http://visa.chem.univ.kiev.ua/~mike/ ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [mdk-re] Re: (no subject) 2002-03-12 19:52 ` [mdk-re] " Michael Shigorin @ 2002-03-12 20:07 ` Sergey Vlasov 2002-03-12 20:20 ` Michael Bykov 1 sibling, 0 replies; 13+ messages in thread From: Sergey Vlasov @ 2002-03-12 20:07 UTC (permalink / raw) To: mandrake-russian On Tue, 12 Mar 2002 18:59:24 +0200 Michael Shigorin <mike@lic145.kiev.ua> wrote: > On Tue, Mar 12, 2002 at 06:20:18PM +0300, Michael Bykov wrote: > > Как защитить от чтения любым пользователем апачевских директорий? > > Если пользователь с одного виртуального хоста не хочет, чтобы его > > файлы читались другим? Они же имеют права "читать остальным", > > потому что апач - ноубоди? > Смотреть во всякие suexec или разводить апачей... suexec не поможет - все равно пользователь apache должен видеть эти файлы, т.к. сначала проверяется наличие запрашиваемого файла, а только потом активизируется suexec. Кстати, аналогичный вопрос недавно обсуждался в apache-talk под темой "dummy question2" :-) ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [mdk-re] Re: (no subject) 2002-03-12 19:52 ` [mdk-re] " Michael Shigorin 2002-03-12 20:07 ` Sergey Vlasov @ 2002-03-12 20:20 ` Michael Bykov 2002-03-12 20:26 ` Korshunov Ilya 1 sibling, 1 reply; 13+ messages in thread From: Michael Bykov @ 2002-03-12 20:20 UTC (permalink / raw) To: mandrake-russian > > Как защитить от чтения любым пользователем апачевских > > директорий? Если пользователь с одного виртуального хоста не > > хочет, чтобы его файлы читались другим? Они же имеют права > > "читать остальным", потому что апач - ноубоди? > Смотреть во всякие suexec или разводить апачей... > > -- > ---- WBR, Michael Shigorin <mike@altlinux.ru> > ------ http://visa.chem.univ.kiev.ua/~mike/ А можно дать апачу группу не ноубоди, а права на чтение дать только группе, а лишнего юзера в эту группу не включать? -- M. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [mdk-re] Re: (no subject) 2002-03-12 20:20 ` Michael Bykov @ 2002-03-12 20:26 ` Korshunov Ilya 2002-03-12 20:38 ` Michael Bykov 2002-03-12 20:45 ` Michael Bykov 0 siblings, 2 replies; 13+ messages in thread From: Korshunov Ilya @ 2002-03-12 20:26 UTC (permalink / raw) To: mandrake-russian > А можно дать апачу группу не ноубоди, а права на чтение дать > только группе, а лишнего юзера в эту группу не включать? > А может лучше создать групу apache, указать в httpd.conf эту группу и папкам убрать с other права на чтение но дать для группы ? Ну и все папки в групу apache соответсвенно ? ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [mdk-re] Re: (no subject) 2002-03-12 20:26 ` Korshunov Ilya @ 2002-03-12 20:38 ` Michael Bykov 2002-03-12 20:45 ` Michael Bykov 1 sibling, 0 replies; 13+ messages in thread From: Michael Bykov @ 2002-03-12 20:38 UTC (permalink / raw) To: mandrake-russian On Tue, 12 Mar 2002 20:35:52 +0300 Korshunov Ilya <kosha@kp.ru> wrote: > > > А можно дать апачу группу не ноубоди, а права на чтение дать > > только группе, а лишнего юзера в эту группу не включать? > > > А может лучше создать групу apache, указать в httpd.conf эту > группу и папкам убрать с other права на чтение но дать для > группы ? Ну и все папки в групу apache соответсвенно ? > Да, именно это я и написал, любую группу, можно и апач. Только нужно две в две группы апач записать, и разным деревьям дать разные группы, а право на чтение "остальным" в обоих деревьях снять. Сейчас пробую. -- M. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [mdk-re] Re: (no subject) 2002-03-12 20:26 ` Korshunov Ilya 2002-03-12 20:38 ` Michael Bykov @ 2002-03-12 20:45 ` Michael Bykov 2002-03-12 21:53 ` Michael Bykov 1 sibling, 1 reply; 13+ messages in thread From: Michael Bykov @ 2002-03-12 20:45 UTC (permalink / raw) To: mandrake-russian On Tue, 12 Mar 2002 20:35:52 +0300 Korshunov Ilya <kosha@kp.ru> wrote: > > > А можно дать апачу группу не ноубоди, а права на чтение дать > > только группе, а лишнего юзера в эту группу не включать? > > > А может лучше создать групу apache, указать в httpd.conf эту > группу и папкам убрать с other права на чтение но дать для > группы ? Ну и все папки в групу apache соответсвенно ? > Меня беспокоит, что в этом случае Апач получает права на запись. Файлы имеют права 664, чтобы люди входящие в группу могли их сообща редактировать. Если я впишу апач в эту группу, и дам права 660, то исключу лишних юзеров, но не создам ли дыры? -- M. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [mdk-re] Re: (no subject) 2002-03-12 20:45 ` Michael Bykov @ 2002-03-12 21:53 ` Michael Bykov 2002-03-13 1:11 ` Mikhail Zabaluev 0 siblings, 1 reply; 13+ messages in thread From: Michael Bykov @ 2002-03-12 21:53 UTC (permalink / raw) To: mandrake-russian > > А может лучше создать групу apache, указать в httpd.conf эту > > группу и папкам убрать с other права на чтение но дать для > > группы ? Ну и все папки в групу apache соответсвенно ? > > > > Меня беспокоит, что в этом случае Апач получает права на > запись. Файлы имеют права 664, чтобы люди входящие в группу > могли их сообща редактировать. Если я впишу апач в эту группу, > и дам права 660, то исключу лишних юзеров, но не создам ли > дыры? > > -- Я пока придумал apache сделать владельцем, а права на фалы дать 460. Тогда apache не сможет писать в дерево документов, члены групп смогут работать, как привыкли, но не смогут видеть чужое дерево. Правильно? Как-то непривычно... -- M. ^ permalink raw reply [flat|nested] 13+ messages in thread
* [mdk-re] Re: (no subject) 2002-03-12 21:53 ` Michael Bykov @ 2002-03-13 1:11 ` Mikhail Zabaluev 2002-03-13 18:02 ` [mdk-re] Защитить дерево документов от чтения посторонним Michael Bykov 0 siblings, 1 reply; 13+ messages in thread From: Mikhail Zabaluev @ 2002-03-13 1:11 UTC (permalink / raw) To: mandrake-russian Hello Michael, On Tue, Mar 12, 2002 at 10:03:01PM +0300, Michael Bykov wrote: > > > > А может лучше создать групу apache, указать в httpd.conf эту > > > группу и папкам убрать с other права на чтение но дать для > > > группы ? Ну и все папки в групу apache соответсвенно ? > > > > > > > Меня беспокоит, что в этом случае Апач получает права на > > запись. Файлы имеют права 664, чтобы люди входящие в группу > > могли их сообща редактировать. Если я впишу апач в эту группу, > > и дам права 660, то исключу лишних юзеров, но не создам ли > > дыры? > > > > -- > > Я пока придумал apache сделать владельцем, а права на фалы дать > 460. Тогда apache не сможет писать в дерево документов, члены > групп смогут работать, как привыкли, но не смогут видеть чужое > дерево. Правильно? Как-то непривычно... apache сможет сделать chmod. -- Stay tuned, MhZ JID: mookid@jabber.org ___________ The sum of the intelligence of the world is constant. The population is, of course, growing. ^ permalink raw reply [flat|nested] 13+ messages in thread
* [mdk-re] Защитить дерево документов от чтения посторонним 2002-03-13 1:11 ` Mikhail Zabaluev @ 2002-03-13 18:02 ` Michael Bykov 2002-03-13 18:31 ` Sergey Vlasov 0 siblings, 1 reply; 13+ messages in thread From: Michael Bykov @ 2002-03-13 18:02 UTC (permalink / raw) To: mandrake-russian > > Я пока придумал apache сделать владельцем, а права на фалы > > дать 460. Тогда apache не сможет писать в дерево документов, > > члены групп смогут работать, как привыкли, но не смогут > > видеть чужое дерево. Правильно? Как-то непривычно... > > apache сможет сделать chmod. > > -- > Stay tuned, > MhZ JID: А как он может сделать chmod, гад (права на запись-то у него не будет)? Господа, неужели это не распространённая задачка? Подскажите, пока чтение меня не просветляет - опасно ли сделать apache владельцем своих файлов? (Чтобы убрать право на чтение "остальным"?) -- M. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [mdk-re] Защитить дерево документов от чтения посторонним 2002-03-13 18:02 ` [mdk-re] Защитить дерево документов от чтения посторонним Michael Bykov @ 2002-03-13 18:31 ` Sergey Vlasov 2002-03-13 21:02 ` Michael Bykov 0 siblings, 1 reply; 13+ messages in thread From: Sergey Vlasov @ 2002-03-13 18:31 UTC (permalink / raw) To: mandrake-russian On Wed, Mar 13, 2002 at 18:12:01 +0300, Michael Bykov wrote: > > > Я пока придумал apache сделать владельцем, а права на фалы > > > дать 460. Тогда apache не сможет писать в дерево документов, > > > члены групп смогут работать, как привыкли, но не смогут > > > видеть чужое дерево. Правильно? Как-то непривычно... > > > > apache сможет сделать chmod. > > > > -- > > Stay tuned, > > MhZ JID: > > А как он может сделать chmod, гад (права на запись-то у него не > будет)? Владелец файла (и только владелец) может сделать chmod, вне зависимости от установленных прав доступа. > Господа, неужели это не распространённая задачка? Подскажите, > пока чтение меня не просветляет - опасно ли сделать apache > владельцем своих файлов? (Чтобы убрать право на чтение > "остальным"?) Видимо, опасно. Можно извратиться так: 1. Все, что надо скрыть, отдается не напрямую, а через CGI-скрипт, который запускается через suexec. Тогда для apache можно сделать доступным только этот скрипт - а уже он, получив с помощью suexec права нужного пользователя, будет доставать его файлы. 2. Файл самого скрипта содержит только include другого файла, который никому, кроме этого пользователя, не доступен (чтобы не показывать даже внутренность скрипта). К сожалению, это увеличит нагрузку (никакие mod_perl, mod_php и т.п. тут не годятся, т.к. все они выполняются только с правами apache). ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [mdk-re] Защитить дерево документов от чтения посторонним 2002-03-13 18:31 ` Sergey Vlasov @ 2002-03-13 21:02 ` Michael Bykov 0 siblings, 0 replies; 13+ messages in thread From: Michael Bykov @ 2002-03-13 21:02 UTC (permalink / raw) To: mandrake-russian > > Господа, неужели это не распространённая задачка? Подскажите, > > пока чтение меня не просветляет - опасно ли сделать apache > > владельцем своих файлов? (Чтобы убрать право на чтение > > "остальным"?) > > Видимо, опасно. > > Можно извратиться так: > Спасибо. Ясно, что проще ставить Кастл, а на него RSBAC c ACL-ами. Ну и прикольней. -- M. ^ permalink raw reply [flat|nested] 13+ messages in thread
* [mdk-re] Re: (no subject) 2002-03-12 18:11 [mdk-re] (no subject) Michael Bykov 2002-03-12 19:52 ` [mdk-re] " Michael Shigorin @ 2002-03-12 22:07 ` Konstantin Lepikhov 1 sibling, 0 replies; 13+ messages in thread From: Konstantin Lepikhov @ 2002-03-12 22:07 UTC (permalink / raw) To: mandrake-russian Hi Michael! Tuesday 12, at 06:20:18 PM you wrote: > > Как защитить от чтения любым пользователем апачевских директорий? > Если пользователь с одного виртуального хоста не хочет, чтобы его > файлы читались другим? Они же имеют права "читать остальным", > потому что апач - ноубоди? > > Через ACL все очень хорошо настраивается :) -- with best regards, ICQ: 109916175 Konstantin Lepikhov mailto:lakostis@pisem.net Motto: Linux is like a wigwam - no windows, no gates, apache inside! ^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2002-03-13 21:02 UTC | newest] Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2002-03-12 18:11 [mdk-re] (no subject) Michael Bykov 2002-03-12 19:52 ` [mdk-re] " Michael Shigorin 2002-03-12 20:07 ` Sergey Vlasov 2002-03-12 20:20 ` Michael Bykov 2002-03-12 20:26 ` Korshunov Ilya 2002-03-12 20:38 ` Michael Bykov 2002-03-12 20:45 ` Michael Bykov 2002-03-12 21:53 ` Michael Bykov 2002-03-13 1:11 ` Mikhail Zabaluev 2002-03-13 18:02 ` [mdk-re] Защитить дерево документов от чтения посторонним Michael Bykov 2002-03-13 18:31 ` Sergey Vlasov 2002-03-13 21:02 ` Michael Bykov 2002-03-12 22:07 ` [mdk-re] Re: (no subject) Konstantin Lepikhov
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git