форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы WEB технологии (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Виртуальные хосты и безопасность CGI"
Сообщение от MayVortex on 16-Апр-03, 22:12  (MSK)
Приветствую! Пока искал ответ на свой вопрос, облазил весь форум, есть много интересного, но не то... Итак проблема: ест сервер, на котором раздаются хосты и разрешено запускать cgi скрипты, и естественно есть желание, чтобы эти скрипты не лазили дальше owner. Ну с этим всё понятно - поставил CGIwrap, но не тут то было! Дело в том, что на нашем сервере один юзер (UID:GID) может имень несколько хостов, структура при этом такая. /users-home/ /users-home/vasia /users-home/vasia/host.dom.ru /users-home/vasia/host.dom.ru/cgi-bin /users-home/vasia/host2.dom.ru /users-home/vasia/host2.dom.ru/cgi-bin Как быть в этой ситуации?! Насколько я понял CGIWrap'еру нужно, чтобы для кажого юзера был указан относительный каталог, в котором ищутся cgi'шки... Завожу юзера host2.dom.ru, указываю относительный каталог cgi-bin - всё работает, а host2.dom.ru имеет точно такой-же UID:GID, завести второго юзера с одинаковыми UID:GID, понятно дело, не получится.... Можно конечно авторизоваться при входе по ФТП не как 'vasia', а как host.dom.ru и за один вход попадать только на один хост - но это не прикольно: во первых переделывать базу около 100 юзеров не тянет, во вторых юзеры, которые почувствовали удобство системы, которая есть сейчас (входишь, как vasia и видишь все свои хост как папки) врядли будут рады нововведению... Если будете предлагать перейти на использование suid - отметте можно ли неперекомпиливая весь апач скомпилить только suid, если да то как?  (в документации suid написанно: первым делом зайти в /src/ и отредактировать suid.c, у меня apache 1.3.27 и в дистрибах нет ни единого намёка на suid.c)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Виртуальные хосты и безопасность CGI"
Сообщение от uldus on 17-Апр-03, 11:01  (MSK)
>скрипты, и естественно есть желание, чтобы эти скрипты не лазили дальше >owner. Ну с этим всё понятно - поставил CGIwrap, Для описанной схемы вполне подойдет suexec + на каждого пользователя/сайт по виртуальному хосту. Собери апач с ./configure --enable-suexec --suexec-caller=web --suexec-docroot=/usr/home Далее в каждом <VirtualHost> пропиши: User pupkin                                                                      Group pupkin
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Виртуальные хосты и безопасность CGI"
	Сообщение от MayVortex on 17-Апр-03, 16:58  (MSK)
	>>скрипты, и естественно есть желание, чтобы эти скрипты не лазили дальше >>owner. Ну с этим всё понятно - поставил CGIwrap, > >Для описанной схемы вполне подойдет suexec + на каждого пользователя/сайт по виртуальному >хосту. >Собери апач с >./configure --enable-suexec --suexec-caller=web --suexec-docroot=/usr/home > >Далее в каждом <VirtualHost> пропиши: >User pupkin           >Group pupkin Работает, спасибо :) Только теперь другая фигня: http://www.opennet.me/openforum/vsluhforumID1/29000.html
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Виртуальные хосты и безопасность CGI"
Сообщение от MayVortex on 17-Апр-03, 17:03  (MSK)
Кстати: юзерам надо присваивать уникальные UID, а GID - всем одинаковый или UID и GID обязательно разные (в смысле и UID уникальный и GID тоже уникальный)? Я вот создал скрипт, выставил ему доступ: "всё для владельца" (xxx------) и скрипт работает (через suexec)! Зачем тогда всем разный GID?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.