The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не получается настроить права пользователей и работу apache"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Открытые системы на сервере (Квоты, ограничения, QoS / Linux)
Изначальное сообщение [ Отслеживать ]

"Не получается настроить права пользователей и работу apache"  +/
Сообщение от hanymi (ok) on 21-Май-10, 02:43 
Имеются 2 пользователя site и forum
# id forum
uid=501(forum) gid=502(forum) группы=502(forum),100(users) context=root:system_r:unconfined_t:SystemLow-SystemHigh
# id site
uid=500(site) gid=500(site) группы=500(site),100(users) context=root:system_r:unconfined_t:SystemLow-SystemHigh

Их директории:
# ls -ls /home
итого 16
8 drwx---r-x 3 forum forum 4096 Май 21 02:29 forum
8 drwx---r-x 3 site  site  4096 Май 20 23:34 site

У каждого свой сайт в ~/html
Хочу сделать ограничение, чтобы один пользователь не мог просматривать каталоги другого, по сути загнал их в одну группу users и выставил права на группу --- но это не работает, видать права (для всех) перекрывают групповые и пользователи могут просматривать чужие каталоги.
Если выставляю права 700, то тогда не работает apache, так как не может прочитать файлы пользователей. Как быть?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не получается настроить права пользователей и работу apache"  +/
Сообщение от Аноним (??) on 21-Май-10, 04:53 
да, "все" перекрывают "группу".
для начала можешь выставить права 711, видеть что в папках не смогут, но если будут знать что там точно лежит - доступ получат, это касается и апача. если нужно сильнее разграничение, то можно, например, скрипты запускать через fast-cgi или MPM-ITK выставляя на них права 600 и юзера которому они принадлежат. cgi-bin скрипты по умолчанию можно выполнять с правами пользователя. да, по кейворду: suexec гугли усиленно.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Не получается настроить права пользователей и работу apache"  +/
Сообщение от shadow_alone (ok) on 21-Май-10, 04:53 
>[оверквотинг удален]
>8 drwx---r-x 3 site  site  4096 Май 20 23:34 site
>
>
>У каждого свой сайт в ~/html
>Хочу сделать ограничение, чтобы один пользователь не мог просматривать каталоги другого, по
>сути загнал их в одну группу users и выставил права на
>группу --- но это не работает, видать права (для всех) перекрывают
>групповые и пользователи могут просматривать чужие каталоги.
>Если выставляю права 700, то тогда не работает apache, так как не
>может прочитать файлы пользователей. Как быть?

chmod 0750 /home/forum
chown forum:apache /home/forum

и для второго тож

или

chmod 0705 /home/forum
chown forum:users /home/forum
и основной группой для них сделать users

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Не получается настроить права пользователей и работу apache"  +/
Сообщение от Аноним (??) on 21-Май-10, 10:50 
>chmod 0750 /home/forum
>chown forum:apache /home/forum
>
>и для второго тож

и через пхп-шные скрипты, которые конечно выполняются с правами апача, через mod_php, мы все так же спокойно можем читать файлики и папочки соседа.

>chmod 0705 /home/forum
>chown forum:users /home/forum
>и основной группой для них сделать users

и чего этим добьетесь?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Не получается настроить права пользователей и работу apache"  +/
Сообщение от shadow_alone (ok) on 21-Май-10, 12:03 
>>chmod 0750 /home/forum
>>chown forum:apache /home/forum
>>
>>и для второго тож
>
>и через пхп-шные скрипты, которые конечно выполняются с правами апача, через mod_php,
>мы все так же спокойно можем читать файлики и папочки соседа.
>

для этого уже safe_mode, или open_basedir "/home/forum"

>
>>chmod 0705 /home/forum
>>chown forum:users /home/forum
>>и основной группой для них сделать users
>
>и чего этим добьетесь?

добьюсь того, что необходимо.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Не получается настроить права пользователей и работу apache"  +/
Сообщение от Аноним (??) on 21-Май-10, 12:22 
>>>chmod 0750 /home/forum
>>>chown forum:apache /home/forum
>>>
>>>и для второго тож
>>
>>и через пхп-шные скрипты, которые конечно выполняются с правами апача, через mod_php,
>>мы все так же спокойно можем читать файлики и папочки соседа.
>>
>
>для этого уже safe_mode, или open_basedir "/home/forum"

safe_mode скоро упразднят, и дыры там находят постоянно, уже напарывался на эту защиту - не надо.


>>>chmod 0705 /home/forum
>>>chown forum:users /home/forum
>>>и основной группой для них сделать users
>>
>>и чего этим добьетесь?
>
>добьюсь того, что необходимо.

а что необходимо?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Не получается настроить права пользователей и работу apache"  +/
Сообщение от Аноним (??) on 21-Май-10, 12:25 
>для этого уже safe_mode, или open_basedir "/home/forum"

и кстати если уж вы это предлагаете, то и говорить нужно сразу, а не когда вас пнут, телепатией далеко не все отличаются, а если таких слов не знать, то и подавно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру