From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 10 Dec 2003 12:55:16 +0300 From: Klimchev Konstantin To: sisyphus@altlinux.ru Subject: Re: [sisyphus] Re: php cgi Message-Id: <20031210125516.6556c98d.koka@atknet.ru> In-Reply-To: <3FD6E107.5060600@rmts.donpac.ru> References: <20031209162254.4d0ca645.koka@atknet.ru> <20031209183601.GC2883@localhost.office.altlinux.ru> <3FD6BDD8.6050608@rmts.donpac.ru> <20031210100604.4557af5d.koka@atknet.ru> <3FD6E107.5060600@rmts.donpac.ru> X-Mailer: Sylpheed version 0.9.6claws (GTK+ 1.2.10; i386-asplinux-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.1.3 Precedence: list Reply-To: sisyphus@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 10 Dec 2003 09:55:26 -0000 Archived-At: List-Archive: On Wed, 10 Dec 2003 12:01:59 +0300 Прокопьев Евгений wrote: > Klimchev Konstantin пишет: > > >>Может ли этот suphp помочь решить следующую проблему - > >>http://altlinux.ru/pipermail/community/2003-November/105073.html? > > > > > >>Если включить safe_mode=on в php.ini, то очевидно, что никто не помешает > >>пользователю выключить его, то же касается любых вариантов ограничить > >>действия пользователя средствами php. > > > > > > Я не большой специалист по php, > > аналогично :( > > > подскажите - как это организовать, чтобы проверить. > > Что именно проверить? Возможность доступа пользователей в домашние > каталоги друг друга? это очевидно. И правами на доступ, например user:apache (750) и , в разрезе php-cgi-safemode (при использовании suphp, при suexec наверное аналогично) параметром DocumentRoot в настройке виртуального хоста. По крайней мере, при разрешении выполнять программы из /bin явный вызов ls из php-скрипта показывал только то, что внутри DocumentRoot и ничего не показывал - что наруже. >Так это подразумевается правами доступа к их > домашним каталогам, которые нельзя уменьшить как раз из-за suexec. > > Или возможность включить safe_mode=on в php.ini? Так в случае cgi+suexec > этот файл должен принадлежать пользователю. на этом и был вопрос по ссылке. Из-за проблемы, что php для каждого пользователя персональный и доступный для изменения (без уточнения какого изменения). Я правильно понял? а в suphp используется один обший файл php, место расположение которого указывается при сборке (например, у меня /usr/local/bin/php). И в этом случае я не представляю, как можно изменить параметры php.ini > > > Я представляю как это сделать для mod_php > > (через переменные php_admin_flag и php_admin_value в описании виртуального хоста), > > но не представляю как для php-cgi > > Первый раз узнал про их существование - глянул в доку, но до конца не понял. > > А если я использую эти директивы, то значения, определенные ими, в > php.ini игнорируются? я бы лучше сказал - переопределяются > В cgi эти директивы использовать нельзя? увы.. это к mod_php. Но в моем случае mod_php не подходит. Там все скрипты от апача выполняются (что они там напишут - неотквотируешь). > > -- > С уважением, Прокопьев Евгений > > _______________________________________________ > Sisyphus mailing list > Sisyphus@altlinux.ru > http://altlinux.ru/mailman/listinfo/sisyphus > -- Best Regards, Konstantin Klimchev (mailto:koka@atvc.ru jabber:koka@jabber.ru) ATK-Internet ISP, Arkhangelsk, Russia