Доброго времени суток!
FreeBSD 7.0
Связка Apache 1.3.27 mod_php, ФТП-сервер pure-ftpd с аутентификацией через "виртуальных пользователей" (UID, GID один, получается). Отсюда - клиентские файлы имеют одного владельца. В принципе, для FTP-сервера не проблема, а вот с Апачем сложнее - пользователи видят (в т.ч., чтение-запись, само собой) файлы друг друга. Подскажите пожалуйста, можно ли решить данную проблему не использую системных (/ect/passwd) пользователей?
ЕМНИП для php можно указывать basedir, однако эффект примерно как от пугала на огороде - самых бестолковых отпугнет да и только.
>ЕМНИП для php можно указывать basedir, однако эффект примерно как от пугала
>на огороде - самых бестолковых отпугнет да и только.В принципе, так и думал. Проблема - пользователи не должны получать доступ к шеллу. Файрволом это всё закрыто, но ведь есть ещё скрипты, эмулирующие шелл-клиенты.
Если для пользователя как шелл указывать nologin - то не заходит и по ФТП :( Как быть?
Да никак. То что вы отключаете shell не помешает мне его написать на php за пару минут. Если есть suhosin или аналоги, то будет чуть труднее, но все равно возможно.
Меняйте принципиально схему, вариантов много. На freebsd можно jail использовать, получите чуть меньшую производительность, зато удобство настройки и никаких проблем с безопасностью .
>Да никак. То что вы отключаете shell не помешает мне его написать
>на php за пару минут. Если есть suhosin или аналоги, то
>будет чуть труднее, но все равно возможно.
>Меняйте принципиально схему, вариантов много. На freebsd можно jail использовать, получите чуть
>меньшую производительность, зато удобство настройки и никаких проблем с безопасностью .
>Сервер HP, Xeon 3.4 с 2ГБ ОЗУ. Сильно "массовый" хостинг не устраивается, но сейчас на нём крутится около пятнадцати (всего) сайтов + используется как POP/SMTP-сервер. Я, в принципе, тоже присматривался к jail, но отталкивает необходимость ложить все библиотеки в отдельную папку (как тут некоторые говорили - делать копию всей системы ).
Хотя... Наверное, всё-таки, попробую. Если кому-нибудь будет интересно - отпишусь о результатах :) О потере в дисковом пространстве, увеличении нагрузки на сервер..
пользователю рута в jail не даем. Апач работает от nobody или от пользователя. Это позволяет использовать хардлинки и в результате места практически не занимает. Если нужно дать таки пользователю в jail рута, то смотрим моддержку MAC в freebsd, сам с этим не возился, но есть предположение, что не дать jailовым рутам менять содержимое харлинкнутых библиотек и бинарей.