ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [mdk-re] (no subject)
@ 2002-03-12 18:11 Michael Bykov
  2002-03-12 19:52 ` [mdk-re] " Michael Shigorin
  2002-03-12 22:07 ` [mdk-re] Re: (no subject) Konstantin Lepikhov
  0 siblings, 2 replies; 13+ messages in thread
From: Michael Bykov @ 2002-03-12 18:11 UTC (permalink / raw)
  To: mandrake

Как защитить от чтения любым пользователем апачевских директорий?
Если пользователь с одного виртуального хоста не хочет, чтобы его
файлы читались другим? Они же имеют права "читать остальным",
потому что апач - ноубоди?


-- 

M.




^ permalink raw reply	[flat|nested] 13+ messages in thread

* [mdk-re] Re: (no subject)
  2002-03-12 18:11 [mdk-re] (no subject) Michael Bykov
@ 2002-03-12 19:52 ` Michael Shigorin
  2002-03-12 20:07   ` Sergey Vlasov
  2002-03-12 20:20   ` Michael Bykov
  2002-03-12 22:07 ` [mdk-re] Re: (no subject) Konstantin Lepikhov
  1 sibling, 2 replies; 13+ messages in thread
From: Michael Shigorin @ 2002-03-12 19:52 UTC (permalink / raw)
  To: mandrake

On Tue, Mar 12, 2002 at 06:20:18PM +0300, Michael Bykov wrote:
> Как защитить от чтения любым пользователем апачевских директорий?
> Если пользователь с одного виртуального хоста не хочет, чтобы его
> файлы читались другим? Они же имеют права "читать остальным",
> потому что апач - ноубоди?
Смотреть во всякие suexec или разводить апачей...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ http://visa.chem.univ.kiev.ua/~mike/



^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [mdk-re] Re: (no subject)
  2002-03-12 19:52 ` [mdk-re] " Michael Shigorin
@ 2002-03-12 20:07   ` Sergey Vlasov
  2002-03-12 20:20   ` Michael Bykov
  1 sibling, 0 replies; 13+ messages in thread
From: Sergey Vlasov @ 2002-03-12 20:07 UTC (permalink / raw)
  To: mandrake-russian

On Tue, 12 Mar 2002 18:59:24 +0200
Michael Shigorin <mike@lic145.kiev.ua> wrote:

> On Tue, Mar 12, 2002 at 06:20:18PM +0300, Michael Bykov wrote:
> > Как защитить от чтения любым пользователем апачевских директорий?
> > Если пользователь с одного виртуального хоста не хочет, чтобы его
> > файлы читались другим? Они же имеют права "читать остальным",
> > потому что апач - ноубоди?
> Смотреть во всякие suexec или разводить апачей...

suexec не поможет - все равно пользователь apache должен видеть
эти файлы, т.к. сначала проверяется наличие запрашиваемого
файла, а только потом активизируется suexec.

Кстати, аналогичный вопрос недавно обсуждался в apache-talk под
темой "dummy question2" :-)



^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [mdk-re] Re: (no subject)
  2002-03-12 19:52 ` [mdk-re] " Michael Shigorin
  2002-03-12 20:07   ` Sergey Vlasov
@ 2002-03-12 20:20   ` Michael Bykov
  2002-03-12 20:26     ` Korshunov Ilya
  1 sibling, 1 reply; 13+ messages in thread
From: Michael Bykov @ 2002-03-12 20:20 UTC (permalink / raw)
  To: mandrake-russian

> > Как защитить от чтения любым пользователем апачевских
> > директорий? Если пользователь с одного виртуального хоста не
> > хочет, чтобы его файлы читались другим? Они же имеют права
> > "читать остальным", потому что апач - ноубоди?
> Смотреть во всякие suexec или разводить апачей...
> 
> -- 
>  ---- WBR, Michael Shigorin <mike@altlinux.ru>
>   ------ http://visa.chem.univ.kiev.ua/~mike/


А можно дать апачу группу не ноубоди, а права на чтение дать
только группе, а лишнего юзера в эту группу не включать?    

-- 

M.




^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [mdk-re] Re: (no subject)
  2002-03-12 20:20   ` Michael Bykov
@ 2002-03-12 20:26     ` Korshunov Ilya
  2002-03-12 20:38       ` Michael Bykov
  2002-03-12 20:45       ` Michael Bykov
  0 siblings, 2 replies; 13+ messages in thread
From: Korshunov Ilya @ 2002-03-12 20:26 UTC (permalink / raw)
  To: mandrake-russian

 
> А можно дать апачу группу не ноубоди, а права на чтение дать
> только группе, а лишнего юзера в эту группу не включать?    
> 
А может лучше создать групу apache, указать в httpd.conf эту группу
и папкам убрать с other права на чтение но дать для группы ? Ну и все папки в групу
apache соответсвенно ?



^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [mdk-re] Re: (no subject)
  2002-03-12 20:26     ` Korshunov Ilya
@ 2002-03-12 20:38       ` Michael Bykov
  2002-03-12 20:45       ` Michael Bykov
  1 sibling, 0 replies; 13+ messages in thread
From: Michael Bykov @ 2002-03-12 20:38 UTC (permalink / raw)
  To: mandrake-russian

On Tue, 12 Mar 2002 20:35:52 +0300
Korshunov Ilya <kosha@kp.ru> wrote:

>  
> > А можно дать апачу группу не ноубоди, а права на чтение дать
> > только группе, а лишнего юзера в эту группу не включать?    
> > 
> А может лучше создать групу apache, указать в httpd.conf эту
> группу и папкам убрать с other права на чтение но дать для
> группы ? Ну и все папки в групу apache соответсвенно ?
> 

Да, именно это я и написал, любую группу, можно и апач. Только
нужно две в две группы апач записать, и разным деревьям дать
разные группы, а право на чтение "остальным" в обоих деревьях
снять. Сейчас пробую.


-- 

M.




^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [mdk-re] Re: (no subject)
  2002-03-12 20:26     ` Korshunov Ilya
  2002-03-12 20:38       ` Michael Bykov
@ 2002-03-12 20:45       ` Michael Bykov
  2002-03-12 21:53         ` Michael Bykov
  1 sibling, 1 reply; 13+ messages in thread
From: Michael Bykov @ 2002-03-12 20:45 UTC (permalink / raw)
  To: mandrake-russian

On Tue, 12 Mar 2002 20:35:52 +0300
Korshunov Ilya <kosha@kp.ru> wrote:

>  
> > А можно дать апачу группу не ноубоди, а права на чтение дать
> > только группе, а лишнего юзера в эту группу не включать?    
> > 
> А может лучше создать групу apache, указать в httpd.conf эту
> группу и папкам убрать с other права на чтение но дать для
> группы ? Ну и все папки в групу apache соответсвенно ?
> 

Меня беспокоит, что в этом случае Апач получает права на запись.
Файлы имеют права 664, чтобы люди входящие в группу могли их
сообща редактировать. Если я впишу апач в эту группу, и дам права
660, то исключу лишних юзеров, но не создам ли дыры?  

-- 

M.




^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [mdk-re] Re: (no subject)
  2002-03-12 20:45       ` Michael Bykov
@ 2002-03-12 21:53         ` Michael Bykov
  2002-03-13  1:11           ` Mikhail Zabaluev
  0 siblings, 1 reply; 13+ messages in thread
From: Michael Bykov @ 2002-03-12 21:53 UTC (permalink / raw)
  To: mandrake-russian

> > А может лучше создать групу apache, указать в httpd.conf эту
> > группу и папкам убрать с other права на чтение но дать для
> > группы ? Ну и все папки в групу apache соответсвенно ?
> > 
> 
> Меня беспокоит, что в этом случае Апач получает права на
> запись. Файлы имеют права 664, чтобы люди входящие в группу
> могли их сообща редактировать. Если я впишу апач в эту группу,
> и дам права 660, то исключу лишних юзеров, но не создам ли
> дыры?  
> 
> -- 

Я пока придумал apache сделать владельцем, а права на фалы дать
460. Тогда apache не сможет писать в дерево документов, члены
групп смогут работать, как привыкли, но не смогут видеть чужое
дерево. Правильно? Как-то непривычно...


-- 

M.




^ permalink raw reply	[flat|nested] 13+ messages in thread

* [mdk-re] Re: (no subject)
  2002-03-12 18:11 [mdk-re] (no subject) Michael Bykov
  2002-03-12 19:52 ` [mdk-re] " Michael Shigorin
@ 2002-03-12 22:07 ` Konstantin Lepikhov
  1 sibling, 0 replies; 13+ messages in thread
From: Konstantin Lepikhov @ 2002-03-12 22:07 UTC (permalink / raw)
  To: mandrake-russian

Hi Michael!

Tuesday 12, at 06:20:18 PM you wrote:

> 
> Как защитить от чтения любым пользователем апачевских директорий?
> Если пользователь с одного виртуального хоста не хочет, чтобы его
> файлы читались другим? Они же имеют права "читать остальным",
> потому что апач - ноубоди?
> 
> 
Через ACL все очень хорошо настраивается :)

-- 
with best regards,			ICQ: 109916175
Konstantin Lepikhov			mailto:lakostis@pisem.net

Motto: Linux is like a wigwam - no windows, no gates, apache inside!




^ permalink raw reply	[flat|nested] 13+ messages in thread

* [mdk-re] Re: (no subject)
  2002-03-12 21:53         ` Michael Bykov
@ 2002-03-13  1:11           ` Mikhail Zabaluev
  2002-03-13 18:02             ` [mdk-re] Защитить дерево документов от чтения посторонним Michael Bykov
  0 siblings, 1 reply; 13+ messages in thread
From: Mikhail Zabaluev @ 2002-03-13  1:11 UTC (permalink / raw)
  To: mandrake-russian

Hello Michael,

On Tue, Mar 12, 2002 at 10:03:01PM +0300, Michael Bykov wrote:
>
> > > А может лучше создать групу apache, указать в httpd.conf эту
> > > группу и папкам убрать с other права на чтение но дать для
> > > группы ? Ну и все папки в групу apache соответсвенно ?
> > > 
> > 
> > Меня беспокоит, что в этом случае Апач получает права на
> > запись. Файлы имеют права 664, чтобы люди входящие в группу
> > могли их сообща редактировать. Если я впишу апач в эту группу,
> > и дам права 660, то исключу лишних юзеров, но не создам ли
> > дыры?  
> > 
> > -- 
> 
> Я пока придумал apache сделать владельцем, а права на фалы дать
> 460. Тогда apache не сможет писать в дерево документов, члены
> групп смогут работать, как привыкли, но не смогут видеть чужое
> дерево. Правильно? Как-то непривычно...

apache сможет сделать chmod.

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
The sum of the intelligence of the world is constant.  The population is,
of course, growing.



^ permalink raw reply	[flat|nested] 13+ messages in thread

* [mdk-re] Защитить дерево документов от чтения посторонним
  2002-03-13  1:11           ` Mikhail Zabaluev
@ 2002-03-13 18:02             ` Michael Bykov
  2002-03-13 18:31               ` Sergey Vlasov
  0 siblings, 1 reply; 13+ messages in thread
From: Michael Bykov @ 2002-03-13 18:02 UTC (permalink / raw)
  To: mandrake-russian

> > Я пока придумал apache сделать владельцем, а права на фалы
> > дать 460. Тогда apache не сможет писать в дерево документов,
> > члены групп смогут работать, как привыкли, но не смогут
> > видеть чужое дерево. Правильно? Как-то непривычно...
> 
> apache сможет сделать chmod.
> 
> -- 
> Stay tuned,
>   MhZ                                     JID:

А как он может сделать chmod, гад (права на запись-то у него не
будет)?

Господа, неужели это не распространённая задачка? Подскажите,
пока чтение меня не просветляет - опасно ли сделать apache
владельцем своих файлов? (Чтобы убрать право на чтение
"остальным"?)


-- 

M.




^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [mdk-re] Защитить дерево документов от чтения посторонним
  2002-03-13 18:02             ` [mdk-re] Защитить дерево документов от чтения посторонним Michael Bykov
@ 2002-03-13 18:31               ` Sergey Vlasov
  2002-03-13 21:02                 ` Michael Bykov
  0 siblings, 1 reply; 13+ messages in thread
From: Sergey Vlasov @ 2002-03-13 18:31 UTC (permalink / raw)
  To: mandrake-russian

On Wed, Mar 13, 2002 at 18:12:01 +0300, Michael Bykov wrote:
> > > Я пока придумал apache сделать владельцем, а права на фалы
> > > дать 460. Тогда apache не сможет писать в дерево документов,
> > > члены групп смогут работать, как привыкли, но не смогут
> > > видеть чужое дерево. Правильно? Как-то непривычно...
> > 
> > apache сможет сделать chmod.
> > 
> > -- 
> > Stay tuned,
> >   MhZ                                     JID:
> 
> А как он может сделать chmod, гад (права на запись-то у него не
> будет)?

Владелец файла (и только владелец) может сделать chmod, вне зависимости от
установленных прав доступа.

> Господа, неужели это не распространённая задачка? Подскажите,
> пока чтение меня не просветляет - опасно ли сделать apache
> владельцем своих файлов? (Чтобы убрать право на чтение
> "остальным"?)

Видимо, опасно.

Можно извратиться так:

1. Все, что надо скрыть, отдается не напрямую, а через CGI-скрипт, который
запускается через suexec.  Тогда для apache можно сделать доступным только
этот скрипт - а уже он, получив с помощью suexec права нужного
пользователя, будет доставать его файлы.

2. Файл самого скрипта содержит только include другого файла, который
никому, кроме этого пользователя, не доступен (чтобы не показывать даже
внутренность скрипта).

К сожалению, это увеличит нагрузку (никакие mod_perl, mod_php и т.п. тут
не годятся, т.к. все они выполняются только с правами apache).



^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [mdk-re] Защитить дерево документов от чтения посторонним
  2002-03-13 18:31               ` Sergey Vlasov
@ 2002-03-13 21:02                 ` Michael Bykov
  0 siblings, 0 replies; 13+ messages in thread
From: Michael Bykov @ 2002-03-13 21:02 UTC (permalink / raw)
  To: mandrake-russian

> > Господа, неужели это не распространённая задачка? Подскажите,
> > пока чтение меня не просветляет - опасно ли сделать apache
> > владельцем своих файлов? (Чтобы убрать право на чтение
> > "остальным"?)
> 
> Видимо, опасно.
> 
> Можно извратиться так:
> 

Спасибо. Ясно, что проще ставить Кастл, а на него RSBAC c
ACL-ами. Ну и прикольней. 

-- 

M.




^ permalink raw reply	[flat|nested] 13+ messages in thread

end of thread, other threads:[~2002-03-13 21:02 UTC | newest]

Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-03-12 18:11 [mdk-re] (no subject) Michael Bykov
2002-03-12 19:52 ` [mdk-re] " Michael Shigorin
2002-03-12 20:07   ` Sergey Vlasov
2002-03-12 20:20   ` Michael Bykov
2002-03-12 20:26     ` Korshunov Ilya
2002-03-12 20:38       ` Michael Bykov
2002-03-12 20:45       ` Michael Bykov
2002-03-12 21:53         ` Michael Bykov
2002-03-13  1:11           ` Mikhail Zabaluev
2002-03-13 18:02             ` [mdk-re] Защитить дерево документов от чтения посторонним Michael Bykov
2002-03-13 18:31               ` Sergey Vlasov
2002-03-13 21:02                 ` Michael Bykov
2002-03-12 22:07 ` [mdk-re] Re: (no subject) Konstantin Lepikhov

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git