форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы WEB технологии (Public)
Изначальное сообщение		[ Отслеживать ]

"Работа Apache + Pure-ftpd от одного пользователя."

Сообщение от vladsol (ok) on 02-Апр-08, 17:27

Доброго времени суток! FreeBSD 7.0 Связка Apache 1.3.27 mod_php, ФТП-сервер pure-ftpd с аутентификацией через "виртуальных пользователей" (UID, GID один, получается). Отсюда - клиентские файлы имеют одного владельца. В принципе, для FTP-сервера не проблема, а вот с Апачем сложнее - пользователи видят (в т.ч., чтение-запись, само собой) файлы друг друга. Подскажите пожалуйста, можно ли решить данную проблему не использую системных (/ect/passwd) пользователей?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Работа Apache + Pure-ftpd от одного пользователя."

Сообщение от angra (ok) on 03-Апр-08, 06:59

ЕМНИП для php можно указывать basedir, однако эффект примерно как от пугала на огороде - самых бестолковых отпугнет да и только.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Работа Apache + Pure-ftpd от одного пользователя."
	Сообщение от vladsol (??) on 03-Апр-08, 11:47
	>ЕМНИП для php можно указывать basedir, однако эффект примерно как от пугала >на огороде - самых бестолковых отпугнет да и только. В принципе, так и думал. Проблема - пользователи не должны получать доступ к шеллу. Файрволом это всё закрыто, но ведь есть ещё скрипты, эмулирующие шелл-клиенты. Если для пользователя как шелл указывать nologin - то не заходит и по ФТП :( Как быть?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Работа Apache + Pure-ftpd от одного пользователя."
	Сообщение от angra (ok) on 04-Апр-08, 07:12
	Да никак. То что вы отключаете shell не помешает мне его написать на php за пару минут. Если есть suhosin или аналоги, то будет чуть труднее, но все равно возможно. Меняйте принципиально схему, вариантов много. На freebsd можно jail использовать, получите чуть меньшую производительность, зато удобство настройки и никаких проблем с безопасностью .
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Работа Apache + Pure-ftpd от одного пользователя."
	Сообщение от Vladsol on 05-Апр-08, 10:11
	>Да никак. То что вы отключаете shell не помешает мне его написать >на php за пару минут. Если есть suhosin или аналоги, то >будет чуть труднее, но все равно возможно. >Меняйте принципиально схему, вариантов много. На freebsd можно jail использовать, получите чуть >меньшую производительность, зато удобство настройки и никаких проблем с безопасностью . > Сервер HP, Xeon 3.4 с 2ГБ ОЗУ. Сильно "массовый" хостинг не устраивается, но сейчас на нём крутится около пятнадцати (всего) сайтов + используется как POP/SMTP-сервер. Я, в принципе, тоже присматривался к jail, но отталкивает необходимость ложить все библиотеки в отдельную папку (как тут некоторые говорили - делать копию всей системы ). Хотя... Наверное, всё-таки, попробую. Если кому-нибудь будет интересно - отпишусь о результатах :) О потере в дисковом пространстве, увеличении нагрузки на сервер..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Работа Apache + Pure-ftpd от одного пользователя."
	Сообщение от angra (ok) on 06-Апр-08, 15:27
	пользователю рута в jail не даем. Апач работает от nobody или от пользователя. Это позволяет использовать хардлинки и в результате места практически не занимает. Если нужно дать таки пользователю в jail рута, то смотрим моддержку MAC в freebsd, сам с этим не возился, но есть предположение, что не дать jailовым рутам менять содержимое харлинкнутых библиотек и бинарей.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]