From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <3B0CB0C0.8050109@altlinux.ru> From: Anton Farygin Organization: ALT LInux Team User-Agent: Mozilla/5.0 (X11; U; Linux 2.4.4-alt1-up i686; en-US; rv:0.9) Gecko/20010511 X-Accept-Language: en MIME-Version: 1.0 To: mandrake-russian@altlinux.ru Subject: Re: [mdk-re] LRN & database.inc References: <20010516130020.324ad571.vyt@vzljot.ru> <3B0AF6F9.6080607@altlinux.ru> <20010523115755.B3155@localhost.localdomain> <00b801c0e374$7ce22200$4201a8c0@muc.beamgate.de> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Linux-Mandrake RE / ALT Linux discussion list List-Unsubscribe: , List-Archive: Date: Thu May 24 10:52:37 2001 X-Original-Date: Thu, 24 May 2001 10:57:04 +0400 Archived-At: List-Archive: List-Post: Vlad Vostrykh wrote: > ----- Original Message ----- > From: "Mikhail Zabaluev" > To: > Sent: Wednesday, May 23, 2001 9:57 AM > Subject: Re: [mdk-re] LRN & database.inc > > > >>Hello Anton, >> >>On Wed, May 23, 2001 at 03:32:09AM +0400, Anton Farygin wrote: >> >>>Vyt wrote: >>> >>> >>>>Hello, All >>>> >>>>Обнаружилось, что /var/www/html/LRN/database.inc имеет права >>>>-rw-r--r-- 1 root root 2228 Май 16 12:57 database.inc >>>> ^ >>>>А ведь там пароль для доступа к базе данных. Или это у меня что-то >>>>сглючило? >>>> >>>Нет не сглючило. >>>На мой взгляд бесмысленно закрывать файл с паролем, который может >>>прочитать любой пользователь, положивший небольшой PHP скриптик к себе в >>>~/public_html/ ;-( >>> >>>А те, кто действительно хочет закрыть - закроют его правами. Но все >>>равно он должен читаться для пользователя apache, что означает его >>>возможное открытие любым пользователм, который имеет права и умение >>>писать скрипты для своей странички. >>> >>Можно и, наверное, даже нужно задать для PHP параметр open_basedir, >>где перечислить безопасный набор каталогов, в которых скрипты могут >>открывать файлы. Это, насколько я знаю, влияет и на require/include, и >>на exec и пр. Указание "." будет открывать для каждого скрипта его >>каталог. А в отдельных сайтах open_basedir можно расширять по вкусу. >> > Интересное решение :) > Но при этом люди не смогут свои параметры для PHP задавать, что иногда > бывает необходимо. > (А если смогут, то кто им помешает open_basedir прописать до вашего файла с > паролями? :)) > В общем, аккуратно надо :) > Для случая с пользовательскими каталогами (http://server/~username) стоит > также посмотреть на параметр user_dir > > >>Пользовательские CGI _нужно_ запускать через suexec. >>Так что проблема решаема хотя бы теоретически. >> > _Теоретически_ проблема решается, насколько я понимаю, с приходом Apache 2 > А практически (как вариант) -- запуском для каждого сервера своей копии > апача с отдельным User userId (необходимо, конечно, по отдельному ip и/или > порту для сайта) Лучше всего - user-mode Linux тогда поставить. ;-) И проблем не будет даже в теории. Rgds Rider