From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vsu@mivlgu.murom.ru>
From: Sergey Vlasov <vsu@mivlgu.murom.ru>
To: mandrake-russian@altlinux.ru
Subject: Re: [mdk-re] =?koi8-r?B?+sHdydTJ1NggxMXS?=
	=?koi8-r?B?xdfPIMTPy9XNxc7Uz9cgz9Qg3tTFzsnRINDP09TP0s/OzsnN?=
Message-ID: <20020313154048.GC9607@vcserver.mivlgu.ru>
Mail-Followup-To: mandrake-russian@altlinux.ru
References: <20020312182018.2b780498.michael@michael.rsuh.ru> <20020312165924.GK1572@lic145.kiev.ua> <20020312202934.09410ae7.michael@michael.rsuh.ru> <20020312203552.68a84b93.kosha@kp.ru> <20020312205516.16a883c8.michael@michael.rsuh.ru> <20020312220301.03c05925.michael@michael.rsuh.ru> <20020312222625.GF2120@mhz.mikhail.zabaluev.name> <20020313181201.46c7e3e4.michael@michael.rsuh.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20020313181201.46c7e3e4.michael@michael.rsuh.ru>
Sender: mandrake-russian-admin@altlinux.ru
Errors-To: mandrake-russian-admin@altlinux.ru
X-BeenThere: mandrake-russian@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: mandrake-russian@altlinux.ru
List-Help: <mailto:mandrake-russian-request@altlinux.ru?subject=help>
List-Post: <mailto:mandrake-russian@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=subscribe>
List-Id: Linux-Mandrake RE / ALT Linux discussion list <mandrake-russian.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/mandrake-russian/>
Date: Wed Mar 13 18:31:42 2002
X-Original-Date: Wed, 13 Mar 2002 18:40:48 +0300
Archived-At: <http://lore.altlinux.org/community/20020313154048.GC9607@vcserver.mivlgu.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Wed, Mar 13, 2002 at 18:12:01 +0300, Michael Bykov wrote:
> > > Я пока придумал apache сделать владельцем, а права на фалы
> > > дать 460. Тогда apache не сможет писать в дерево документов,
> > > члены групп смогут работать, как привыкли, но не смогут
> > > видеть чужое дерево. Правильно? Как-то непривычно...
> > 
> > apache сможет сделать chmod.
> > 
> > -- 
> > Stay tuned,
> >   MhZ                                     JID:
> 
> А как он может сделать chmod, гад (права на запись-то у него не
> будет)?

Владелец файла (и только владелец) может сделать chmod, вне зависимости от
установленных прав доступа.

> Господа, неужели это не распространённая задачка? Подскажите,
> пока чтение меня не просветляет - опасно ли сделать apache
> владельцем своих файлов? (Чтобы убрать право на чтение
> "остальным"?)

Видимо, опасно.

Можно извратиться так:

1. Все, что надо скрыть, отдается не напрямую, а через CGI-скрипт, который
запускается через suexec.  Тогда для apache можно сделать доступным только
этот скрипт - а уже он, получив с помощью suexec права нужного
пользователя, будет доставать его файлы.

2. Файл самого скрипта содержит только include другого файла, который
никому, кроме этого пользователя, не доступен (чтобы не показывать даже
внутренность скрипта).

К сожалению, это увеличит нагрузку (никакие mod_perl, mod_php и т.п. тут
не годятся, т.к. все они выполняются только с правами apache).