[mdk-re] Защитить дерево документов от чтения посторонним

[Sergey Vlasov]

On Wed, Mar 13, 2002 at 18:12:01 +0300, Michael Bykov wrote:
> > > Я пока придумал apache сделать владельцем, а права на фалы
> > > дать 460. Тогда apache не сможет писать в дерево документов,
> > > члены групп смогут работать, как привыкли, но не смогут
> > > видеть чужое дерево. Правильно? Как-то непривычно...
> > 
> > apache сможет сделать chmod.
> > 
> > -- 
> > Stay tuned,
> >   MhZ                                     JID:
> 
> А как он может сделать chmod, гад (права на запись-то у него не
> будет)?

Владелец файла (и только владелец) может сделать chmod, вне зависимости от
установленных прав доступа.

> Господа, неужели это не распространённая задачка? Подскажите,
> пока чтение меня не просветляет - опасно ли сделать apache
> владельцем своих файлов? (Чтобы убрать право на чтение
> "остальным"?)

Видимо, опасно.

Можно извратиться так:

1. Все, что надо скрыть, отдается не напрямую, а через CGI-скрипт, который
запускается через suexec.  Тогда для apache можно сделать доступным только
этот скрипт - а уже он, получив с помощью suexec права нужного
пользователя, будет доставать его файлы.

2. Файл самого скрипта содержит только include другого файла, который
никому, кроме этого пользователя, не доступен (чтобы не показывать даже
внутренность скрипта).

К сожалению, это увеличит нагрузку (никакие mod_perl, mod_php и т.п. тут
не годятся, т.к. все они выполняются только с правами apache).