From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <rider@altlinux.ru>
Message-ID: <3B0CB081.8080108@altlinux.ru>
From: Anton Farygin <rider@altlinux.ru>
Organization: ALT LInux Team
User-Agent: Mozilla/5.0 (X11; U; Linux 2.4.4-alt1-up i686; en-US; rv:0.9) Gecko/20010511
X-Accept-Language: en
MIME-Version: 1.0
To: mandrake-russian@altlinux.ru
Subject: Re: [mdk-re] LRN & database.inc
References: <20010516130020.324ad571.vyt@vzljot.ru>	<3B0AF6F9.6080607@altlinux.ru>	<20010523115755.B3155@localhost.localdomain> <20010523123354.2b0420c4.vyt@vzljot.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Sender: mandrake-russian-admin@altlinux.ru
Errors-To: mandrake-russian-admin@altlinux.ru
X-BeenThere: mandrake-russian@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: mandrake-russian@altlinux.ru
List-Help: <mailto:mandrake-russian-request@altlinux.ru?subject=help>
List-Post: <mailto:mandrake-russian@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=subscribe>
List-Id: Linux-Mandrake RE / ALT Linux discussion list <mandrake-russian.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/mandrake-russian/>
Date: Thu May 24 10:50:01 2001
X-Original-Date: Thu, 24 May 2001 10:56:01 +0400
Archived-At: <http://lore.altlinux.org/community/3B0CB081.8080108@altlinux.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Vyt wrote:

> On Wed, 23 May 2001 11:57:55 +0400
> Mikhail Zabaluev <mhz@alt-linux.org> wrote:
> 
> <skipped>
> 
>>>>Обнаружилось, что /var/www/html/LRN/database.inc имеет права
>>>>-rw-r--r--    1 root     root         2228 Май 16 12:57 database.inc
>>>>       ^
>>>>А ведь там пароль для доступа к базе данных. Или это у меня что-то
>>>>сглючило?
>>>>
>>>Нет не сглючило.
>>>На мой взгляд бесмысленно закрывать файл с паролем, который может
>>>прочитать любой пользователь, положивший небольшой PHP скриптик к себе
>>>
> в
> 
>>>~/public_html/ ;-(
>>>
>>>А те, кто действительно хочет закрыть - закроют его правами. Но все
>>>равно он должен читаться для пользователя apache, что означает его
>>>возможное открытие любым пользователм, который имеет права и умение
>>>писать скрипты для своей странички.
>>>
>>Можно и, наверное, даже нужно задать для PHP параметр open_basedir,
>>где перечислить безопасный набор каталогов, в которых скрипты могут
>>открывать файлы. Это, насколько я знаю, влияет и на require/include, и
>>на exec и пр. Указание "." будет открывать для каждого скрипта его
>>каталог. А в отдельных сайтах open_basedir можно расширять по вкусу.
>>Пользовательские CGI _нужно_ запускать через suexec.
>>Так что проблема решаема хотя бы теоретически.
>>
> 
> Спасибо всем отреагировавшим :) Я имел в виду возможность локальному
> пользователю узнать пароль.

Речь и идет об локальных пользователях.
Об тех, кто может писать скрипты на локальном хосте для WEB.
А совсем тупо можно в принципе сделать владельца database.inc apache и 
убрать права на чтение для остальных.

Rgds
Rider