forum.opennet.ru - "OpenNews: Новая ссылка: Как поместить Apache в chroot окруже..." (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Новая ссылка: Как поместить Apache в chroot окруже..."

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Новая ссылка: Как поместить Apache в chroot окруже..."
Сообщение от opennews on 30-Авг-01, 11:22
В статье описана технология помещения Apache в chroot окружение, совместно с MySQL, PHP и Perl. URL: http://penguin.epfl.ch/chroot.html Новость: http://www.opennet.me/opennews/art.shtml?num=684
Cообщить модератору \| Наверх \| ^

Оглавление

Новая ссылка: Как поместить Apache в chroot окружение в Linu..., Sergey, 11:22 , 30-Авг-01, (1)

RE: Новая ссылка: Как поместить Apache в chroot окружение в ..., Dr. Nemo, 01:06 , 31-Авг-01, (2)

RE: Новая ссылка: Как поместить Apache в chroot окружение в ..., Sergey, 18:21 , 31-Авг-01, (3)

Сообщения по теме [Сортировка по времени, UBB]

1. "Новая ссылка: Как поместить Apache в chroot окружение в Linu..."

Сообщение от Sergey on 30-Авг-01, 11:22

А может кто еще знает как заставить почту (qmail) отправляться из под chroot? Без перенесения qmail в тоже дерево, где и апачь стоять будет. Буду рад любым советам.

Cообщить модератору | Наверх | ^

2. "RE: Новая ссылка: Как поместить Apache в chroot окружение в ..."

Сообщение от Dr. Nemo on 31-Авг-01, 01:06

>А может кто еще знает как
>заставить почту (qmail) отправляться из
>под chroot?
Не думаю, что есть смысл заталкивать qmail под chroot, он и без того безопасней небывает.
С апачем тоже проблемы, засунуть в chroot не проблема, проблема в том, что юзеры по прежнему могут просматривать директории соседей при возможности запуска cgi на хостинге. Если скрипт проломят или хозяин скрипта захочет - могут утянуть скрипты всех соседей, которые стоят не одну тыс. $.
Выход вижу либо в chroot'е на кождого юзера, что очень накладно с точки зрения затрат ресурсов, либо в установке гибкой системы ACL для прикрытия доступа ко всему, кроме необходимых библиотек, Perl'а и домашней директории. Еще вариант запатчить suexec на предмет подставления ulimit -u 1, запрещающего скрипту выполнять другие программы, но это вносит существенные ограничения и не спасает от шпионов смотрящих чужие файлы.
Кстати, можешь взглянуть на cgi-wrapper, он много интересного умеет, но мне не нравится :-(
>Без перенесения qmail
>в тоже дерево, где и
>апачь стоять будет.
Chroot не всегда оправдан, важен грамотный подход ко всей системе защиты.

Cообщить модератору | Наверх | ^

3. "RE: Новая ссылка: Как поместить Apache в chroot окружение в ..."

Сообщение от Sergey on 31-Авг-01, 18:21

>Не думаю, что есть смысл заталкивать
>qmail под chroot
Ну вообще я не это имел виду. Проблема вот в чем:
Стоит апач под chroot, вместе с ним работает php, я пытаюсь отправить почту из формы созданной апачем в браузере при помощи функции php - mail().
А он не отправляет. Даже ошибку не дает ни какую.
QMail кстати запущен не в том корне, что apache. Так вот как организовать такое дело?

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Новая ссылка: Как поместить Apache в chroot окружение в Linu..."
Сообщение от Sergey on 30-Авг-01, 11:22
А может кто еще знает как заставить почту (qmail) отправляться из под chroot? Без перенесения qmail в тоже дерево, где и апачь стоять будет. Буду рад любым советам.
Cообщить модератору \| Наверх \| ^


	2. "RE: Новая ссылка: Как поместить Apache в chroot окружение в ..."
	Сообщение от Dr. Nemo on 31-Авг-01, 01:06
	>А может кто еще знает как >заставить почту (qmail) отправляться из >под chroot? Не думаю, что есть смысл заталкивать qmail под chroot, он и без того безопасней небывает. С апачем тоже проблемы, засунуть в chroot не проблема, проблема в том, что юзеры по прежнему могут просматривать директории соседей при возможности запуска cgi на хостинге. Если скрипт проломят или хозяин скрипта захочет - могут утянуть скрипты всех соседей, которые стоят не одну тыс. $. Выход вижу либо в chroot'е на кождого юзера, что очень накладно с точки зрения затрат ресурсов, либо в установке гибкой системы ACL для прикрытия доступа ко всему, кроме необходимых библиотек, Perl'а и домашней директории. Еще вариант запатчить suexec на предмет подставления ulimit -u 1, запрещающего скрипту выполнять другие программы, но это вносит существенные ограничения и не спасает от шпионов смотрящих чужие файлы. Кстати, можешь взглянуть на cgi-wrapper, он много интересного умеет, но мне не нравится :-( >Без перенесения qmail >в тоже дерево, где и >апачь стоять будет. Chroot не всегда оправдан, важен грамотный подход ко всей системе защиты.
	Cообщить модератору \| Наверх \| ^


	3. "RE: Новая ссылка: Как поместить Apache в chroot окружение в ..."
	Сообщение от Sergey on 31-Авг-01, 18:21
	>Не думаю, что есть смысл заталкивать >qmail под chroot Ну вообще я не это имел виду. Проблема вот в чем: Стоит апач под chroot, вместе с ним работает php, я пытаюсь отправить почту из формы созданной апачем в браузере при помощи функции php - mail(). А он не отправляет. Даже ошибку не дает ни какую. QMail кстати запущен не в том корне, что apache. Так вот как организовать такое дело?
	Cообщить модератору \| Наверх \| ^