[mdk-re] LRN & database.inc
Vlad Vostrykh
=?iso-8859-1?q?vlad_=CE=C1_na=2Eru?=
Ср Май 23 14:32:04 MSD 2001
----- Original Message -----
From: "Mikhail Zabaluev" <mhz на alt-linux.org>
To: <mandrake-russian на altlinux.ru>
Sent: Wednesday, May 23, 2001 9:57 AM
Subject: Re: [mdk-re] LRN & database.inc
> Hello Anton,
>
> On Wed, May 23, 2001 at 03:32:09AM +0400, Anton Farygin wrote:
> >
> > Vyt wrote:
> >
> > > Hello, All
> > >
> > > Обнаружилось, что /var/www/html/LRN/database.inc имеет права
> > > -rw-r--r-- 1 root root 2228 Май 16 12:57 database.inc
> > > ^
> > > А ведь там пароль для доступа к базе данных. Или это у меня что-то
> > > сглючило?
> >
> > Нет не сглючило.
> > На мой взгляд бесмысленно закрывать файл с паролем, который может
> > прочитать любой пользователь, положивший небольшой PHP скриптик к себе в
> > ~/public_html/ ;-(
> >
> > А те, кто действительно хочет закрыть - закроют его правами. Но все
> > равно он должен читаться для пользователя apache, что означает его
> > возможное открытие любым пользователм, который имеет права и умение
> > писать скрипты для своей странички.
>
> Можно и, наверное, даже нужно задать для PHP параметр open_basedir,
> где перечислить безопасный набор каталогов, в которых скрипты могут
> открывать файлы. Это, насколько я знаю, влияет и на require/include, и
> на exec и пр. Указание "." будет открывать для каждого скрипта его
> каталог. А в отдельных сайтах open_basedir можно расширять по вкусу.
Интересное решение :)
Но при этом люди не смогут свои параметры для PHP задавать, что иногда
бывает необходимо.
(А если смогут, то кто им помешает open_basedir прописать до вашего файла с
паролями? :))
В общем, аккуратно надо :)
Для случая с пользовательскими каталогами (http://server/~username) стоит
также посмотреть на параметр user_dir
> Пользовательские CGI _нужно_ запускать через suexec.
> Так что проблема решаема хотя бы теоретически.
_Теоретически_ проблема решается, насколько я понимаю, с приходом Apache 2
А практически (как вариант) -- запуском для каждого сервера своей копии
апача с отдельным User userId (необходимо, конечно, по отдельному ip и/или
порту для сайта)
WBR,
Vlad Vostrykh
Подробная информация о списке рассылки community