[mdk-re] LRN & database.inc
Anton Farygin
=?iso-8859-1?q?rider_=CE=C1_altlinux=2Eru?=
Чт Май 24 10:52:37 MSD 2001
Vlad Vostrykh wrote:
> ----- Original Message -----
> From: "Mikhail Zabaluev" <mhz на alt-linux.org>
> To: <mandrake-russian на altlinux.ru>
> Sent: Wednesday, May 23, 2001 9:57 AM
> Subject: Re: [mdk-re] LRN & database.inc
>
>
>
>>Hello Anton,
>>
>>On Wed, May 23, 2001 at 03:32:09AM +0400, Anton Farygin wrote:
>>
>>>Vyt wrote:
>>>
>>>
>>>>Hello, All
>>>>
>>>>Обнаружилось, что /var/www/html/LRN/database.inc имеет права
>>>>-rw-r--r-- 1 root root 2228 Май 16 12:57 database.inc
>>>> ^
>>>>А ведь там пароль для доступа к базе данных. Или это у меня что-то
>>>>сглючило?
>>>>
>>>Нет не сглючило.
>>>На мой взгляд бесмысленно закрывать файл с паролем, который может
>>>прочитать любой пользователь, положивший небольшой PHP скриптик к себе в
>>>~/public_html/ ;-(
>>>
>>>А те, кто действительно хочет закрыть - закроют его правами. Но все
>>>равно он должен читаться для пользователя apache, что означает его
>>>возможное открытие любым пользователм, который имеет права и умение
>>>писать скрипты для своей странички.
>>>
>>Можно и, наверное, даже нужно задать для PHP параметр open_basedir,
>>где перечислить безопасный набор каталогов, в которых скрипты могут
>>открывать файлы. Это, насколько я знаю, влияет и на require/include, и
>>на exec и пр. Указание "." будет открывать для каждого скрипта его
>>каталог. А в отдельных сайтах open_basedir можно расширять по вкусу.
>>
> Интересное решение :)
> Но при этом люди не смогут свои параметры для PHP задавать, что иногда
> бывает необходимо.
> (А если смогут, то кто им помешает open_basedir прописать до вашего файла с
> паролями? :))
> В общем, аккуратно надо :)
> Для случая с пользовательскими каталогами (http://server/~username) стоит
> также посмотреть на параметр user_dir
>
>
>>Пользовательские CGI _нужно_ запускать через suexec.
>>Так что проблема решаема хотя бы теоретически.
>>
> _Теоретически_ проблема решается, насколько я понимаю, с приходом Apache 2
> А практически (как вариант) -- запуском для каждого сервера своей копии
> апача с отдельным User userId (необходимо, конечно, по отдельному ip и/или
> порту для сайта)
Лучше всего - user-mode Linux тогда поставить. ;-)
И проблем не будет даже в теории.
Rgds
Rider
Подробная информация о списке рассылки community