forum.opennet.ru - "CGI chroot - свой для каждого виртуального хоста" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"CGI chroot - свой для каждого виртуального хоста"

Форумы WEB технологии (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"CGI chroot - свой для каждого виртуального хоста"
Сообщение от Keeper (??) on 27-Сен-04, 11:53 (MSK)
Требуется обезопасить CGI-скрипты (perl, c) на разных виртуальных хостах от воздействия друг на друга. Как вариант, конечно, suexec, но хотелось бы чего-нибудь типа chroot'а на каждый виртуальный сайт. Существует ли такое в природе?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

CGI chroot - свой для каждого виртуального хоста, taienos, 12:35 , 27-Сен-04, (1)
- CGI chroot - свой для каждого виртуального хоста, Keeper, 12:56 , 27-Сен-04, (2)
  - CGI chroot - свой для каждого виртуального хоста, taienos, 16:07 , 27-Сен-04, (3)
    - CGI chroot - свой для каждого виртуального хоста, taienos, 10:22 , 28-Сен-04, (5)
      - CGI chroot - свой для каждого виртуального хоста, Keeper, 10:25 , 28-Сен-04, (6)
        
        CGI chroot - свой для каждого виртуального хоста, taienos, 10:25 , 07-Окт-04, (8)
      - CGI chroot - свой для каждого виртуального хоста, Keeper, 10:38 , 19-Ноя-04, (9)
  - CGI chroot - свой для каждого виртуального хоста, uldus, 21:26 , 27-Сен-04, (4)
CGI chroot - свой для каждого виртуального хоста, MK, 21:06 , 06-Окт-04, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "CGI chroot - свой для каждого виртуального хоста"

Сообщение от taienos on 27-Сен-04, 12:35  (MSK)

>Требуется обезопасить CGI-скрипты (perl, c) на разных виртуальных хостах от воздействия друг
>на друга. Как вариант, конечно, suexec, но хотелось бы чего-нибудь типа
>chroot'а на каждый виртуальный сайт. Существует ли такое в природе?
Как вариант: в hhtpd.conf cgi-bin не назначаешь, а в настройках виртуалхоста делаешь
    <Directory /www/vhost/cgi-bin>
        Options +ExecCGI
    </Directory>
создаешь папки и у каждого будет свой.....

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "CGI chroot - свой для каждого виртуального хоста"

Сообщение от Keeper (??) on 27-Сен-04, 12:56  (MSK)

>    <Directory /www/vhost/cgi-bin>
>        Options +ExecCGI
>    </Directory>
Это здорово, но этого недостаточно. Что делать, если скрипт /www/vhost-N1/cgi-bin/evil.cgi содержит что-нибудь типа fopen( "/www/vhost-N2/htdocs/forum/config.php", "rt") ?
Вот для этого и нужен chroot или что-то типа того.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "CGI chroot - свой для каждого виртуального хоста"

Сообщение от taienos on 27-Сен-04, 16:07  (MSK)

>>    <Directory /www/vhost/cgi-bin>
>>        Options +ExecCGI
>>    </Directory>
>
>Это здорово, но этого недостаточно. Что делать, если скрипт /www/vhost-N1/cgi-bin/evil.cgi содержит что-нибудь
>типа fopen( "/www/vhost-N2/htdocs/forum/config.php", "rt") ?
>
>Вот для этого и нужен chroot или что-то типа того.

Так ты рули правами на папки виртуалхостов и запускай апачевские процессы от имени того пользователя, на чей виртуалхост идет обращение.
<VirtualHost xxx.xxx.xxx.xxx:80>
    User user1
    Group user1
    ServerAdmin user@chtoto.com
    DocumentRoot /www/user1
    ServerName user1.ru
    ServerAlias www.user1.ru
    <Directory /www/user1>
        Options -Indexes -Includes
        AllowOverride AuthConfig Limit FileInfo
        Order allow,deny
        Allow from all
    </Directory>
    <Directory /www/user1/cgi-bin>
        Options +ExecCGI
    </Directory>
</VirtualHost>
<VirtualHost xxx.xxx.xxx.xxx:80>
    User user2
    Group user2
    ServerAdmin user@gdeto.com
    DocumentRoot /www/user2
    ServerName user2.ru
    ServerAlias www.user2.ru
    <Directory /www/user2>
        Options -Indexes -Includes
        AllowOverride AuthConfig Limit FileInfo
        Order allow,deny
        Allow from all
    </Directory>
    <Directory /www/user2/cgi-bin>
        Options +ExecCGI
    </Directory>
</VirtualHost>

Что-то типа этого...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "CGI chroot - свой для каждого виртуального хоста"

Сообщение от taienos on 28-Сен-04, 10:22  (MSK)

>>>    <Directory /www/vhost/cgi-bin>
>>>        Options +ExecCGI
>>>    </Directory>
>>
>>Это здорово, но этого недостаточно. Что делать, если скрипт /www/vhost-N1/cgi-bin/evil.cgi содержит что-нибудь
>>типа fopen( "/www/vhost-N2/htdocs/forum/config.php", "rt") ?
>>
>>Вот для этого и нужен chroot или что-то типа того.
>
>
>Так ты рули правами на папки виртуалхостов и запускай апачевские процессы от
>имени того пользователя, на чей виртуалхост идет обращение.
>
><VirtualHost xxx.xxx.xxx.xxx:80>
>    User user1
>    Group user1
>    ServerAdmin user@chtoto.com
>    DocumentRoot /www/user1
>    ServerName user1.ru
>    ServerAlias www.user1.ru
>    <Directory /www/user1>
>        Options -Indexes -Includes
>        AllowOverride AuthConfig Limit FileInfo
>
>        Order allow,deny
>        Allow from all
>    </Directory>
>    <Directory /www/user1/cgi-bin>
>        Options +ExecCGI
>    </Directory>
></VirtualHost>
>
><VirtualHost xxx.xxx.xxx.xxx:80>
>    User user2
>    Group user2
>    ServerAdmin user@gdeto.com
>    DocumentRoot /www/user2
>    ServerName user2.ru
>    ServerAlias www.user2.ru
>    <Directory /www/user2>
>        Options -Indexes -Includes
>        AllowOverride AuthConfig Limit FileInfo
>
>        Order allow,deny
>        Allow from all
>    </Directory>
>    <Directory /www/user2/cgi-bin>
>        Options +ExecCGI
>    </Directory>
></VirtualHost>
>
>
>Что-то типа этого...
Забыл совсем. Для этого патчик на апач нужно :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "CGI chroot - свой для каждого виртуального хоста"

Сообщение от Keeper (??) on 28-Сен-04, 10:25  (MSK)

>Забыл совсем. Для этого патчик на апач нужно :)
Разве 2.0.х не умеет сам пользователя переключать?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "CGI chroot - свой для каждого виртуального хоста"

Сообщение от taienos on 07-Окт-04, 10:25  (MSK)

>>Забыл совсем. Для этого патчик на апач нужно :)
>
>Разве 2.0.х не умеет сам пользователя переключать?

Я про 1.3.6 писал

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "CGI chroot - свой для каждого виртуального хоста"

Сообщение от Keeper (??) on 19-Ноя-04, 10:38  (MSK)

>Забыл совсем. Для этого патчик на апач нужно :)
И где его взять?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "CGI chroot - свой для каждого виртуального хоста"

Сообщение от uldus (ok) on 27-Сен-04, 21:26  (MSK)

>Вот для этого и нужен chroot или что-то типа того.
Для этого нужен suexec и правильно выставленные права доступа ни директории пользователей, чтобы соседи друг к другу лазить не могли, доступ открыт только для владельца скрипта и для группы апача на чтение.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "CGI chroot - свой для каждого виртуального хоста"

Сообщение от MK (??) on 06-Окт-04, 21:06  (MSK)

Есть модифицированный suexec http://sourceforge.net/projects/chroot-suexec/ ,но тут без напильника не обойтись!
И будут проблемы с сетевыми соединениями через UNIX-сокеты, так
как chroot вещь непробиваемая.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "CGI chroot - свой для каждого виртуального хоста"
Сообщение от taienos on 27-Сен-04, 12:35 (MSK)
>Требуется обезопасить CGI-скрипты (perl, c) на разных виртуальных хостах от воздействия друг >на друга. Как вариант, конечно, suexec, но хотелось бы чего-нибудь типа >chroot'а на каждый виртуальный сайт. Существует ли такое в природе? Как вариант: в hhtpd.conf cgi-bin не назначаешь, а в настройках виртуалхоста делаешь <Directory /www/vhost/cgi-bin> Options +ExecCGI </Directory> создаешь папки и у каждого будет свой.....
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "CGI chroot - свой для каждого виртуального хоста"
	Сообщение от Keeper (??) on 27-Сен-04, 12:56 (MSK)
	> <Directory /www/vhost/cgi-bin> > Options +ExecCGI > </Directory> Это здорово, но этого недостаточно. Что делать, если скрипт /www/vhost-N1/cgi-bin/evil.cgi содержит что-нибудь типа fopen( "/www/vhost-N2/htdocs/forum/config.php", "rt") ? Вот для этого и нужен chroot или что-то типа того.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "CGI chroot - свой для каждого виртуального хоста"
	Сообщение от taienos on 27-Сен-04, 16:07 (MSK)
	>> <Directory /www/vhost/cgi-bin> >> Options +ExecCGI >> </Directory> > >Это здорово, но этого недостаточно. Что делать, если скрипт /www/vhost-N1/cgi-bin/evil.cgi содержит что-нибудь >типа fopen( "/www/vhost-N2/htdocs/forum/config.php", "rt") ? > >Вот для этого и нужен chroot или что-то типа того. Так ты рули правами на папки виртуалхостов и запускай апачевские процессы от имени того пользователя, на чей виртуалхост идет обращение. <VirtualHost xxx.xxx.xxx.xxx:80> User user1 Group user1 ServerAdmin user@chtoto.com DocumentRoot /www/user1 ServerName user1.ru ServerAlias www.user1.ru <Directory /www/user1> Options -Indexes -Includes AllowOverride AuthConfig Limit FileInfo Order allow,deny Allow from all </Directory> <Directory /www/user1/cgi-bin> Options +ExecCGI </Directory> </VirtualHost> <VirtualHost xxx.xxx.xxx.xxx:80> User user2 Group user2 ServerAdmin user@gdeto.com DocumentRoot /www/user2 ServerName user2.ru ServerAlias www.user2.ru <Directory /www/user2> Options -Indexes -Includes AllowOverride AuthConfig Limit FileInfo Order allow,deny Allow from all </Directory> <Directory /www/user2/cgi-bin> Options +ExecCGI </Directory> </VirtualHost> Что-то типа этого...
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "CGI chroot - свой для каждого виртуального хоста"
	Сообщение от taienos on 28-Сен-04, 10:22 (MSK)
	>>> <Directory /www/vhost/cgi-bin> >>> Options +ExecCGI >>> </Directory> >> >>Это здорово, но этого недостаточно. Что делать, если скрипт /www/vhost-N1/cgi-bin/evil.cgi содержит что-нибудь >>типа fopen( "/www/vhost-N2/htdocs/forum/config.php", "rt") ? >> >>Вот для этого и нужен chroot или что-то типа того. > > >Так ты рули правами на папки виртуалхостов и запускай апачевские процессы от >имени того пользователя, на чей виртуалхост идет обращение. > ><VirtualHost xxx.xxx.xxx.xxx:80> > User user1 > Group user1 > ServerAdmin user@chtoto.com > DocumentRoot /www/user1 > ServerName user1.ru > ServerAlias www.user1.ru > <Directory /www/user1> > Options -Indexes -Includes > AllowOverride AuthConfig Limit FileInfo > > Order allow,deny > Allow from all > </Directory> > <Directory /www/user1/cgi-bin> > Options +ExecCGI > </Directory> ></VirtualHost> > ><VirtualHost xxx.xxx.xxx.xxx:80> > User user2 > Group user2 > ServerAdmin user@gdeto.com > DocumentRoot /www/user2 > ServerName user2.ru > ServerAlias www.user2.ru > <Directory /www/user2> > Options -Indexes -Includes > AllowOverride AuthConfig Limit FileInfo > > Order allow,deny > Allow from all > </Directory> > <Directory /www/user2/cgi-bin> > Options +ExecCGI > </Directory> ></VirtualHost> > > >Что-то типа этого... Забыл совсем. Для этого патчик на апач нужно :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "CGI chroot - свой для каждого виртуального хоста"
	Сообщение от Keeper (??) on 28-Сен-04, 10:25 (MSK)
	>Забыл совсем. Для этого патчик на апач нужно :) Разве 2.0.х не умеет сам пользователя переключать?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "CGI chroot - свой для каждого виртуального хоста"
	Сообщение от taienos on 07-Окт-04, 10:25 (MSK)
	>>Забыл совсем. Для этого патчик на апач нужно :) > >Разве 2.0.х не умеет сам пользователя переключать? Я про 1.3.6 писал
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "CGI chroot - свой для каждого виртуального хоста"
	Сообщение от Keeper (??) on 19-Ноя-04, 10:38 (MSK)
	>Забыл совсем. Для этого патчик на апач нужно :) И где его взять?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "CGI chroot - свой для каждого виртуального хоста"
	Сообщение от uldus (ok) on 27-Сен-04, 21:26 (MSK)
	>Вот для этого и нужен chroot или что-то типа того. Для этого нужен suexec и правильно выставленные права доступа ни директории пользователей, чтобы соседи друг к другу лазить не могли, доступ открыт только для владельца скрипта и для группы апача на чтение.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

7. "CGI chroot - свой для каждого виртуального хоста"
Сообщение от MK (??) on 06-Окт-04, 21:06 (MSK)
Есть модифицированный suexec http://sourceforge.net/projects/chroot-suexec/ ,но тут без напильника не обойтись! И будут проблемы с сетевыми соединениями через UNIX-сокеты, так как chroot вещь непробиваемая.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх