[sisyphus] Re: php cgi

Klimchev Konstantin =?iso-8859-1?q?koka_=CE=C1_atknet=2Eru?=
Ср Дек 10 12:55:16 MSK 2003 

On Wed, 10 Dec 2003 12:01:59 +0300
Прокопьев Евгений <john на rmts.donpac.ru> wrote:

> Klimchev Konstantin пишет:
> 
> >>Может ли этот suphp помочь решить следующую проблему - 
> >>http://altlinux.ru/pipermail/community/2003-November/105073.html?
> > 
> > 
> >>Если включить safe_mode=on в php.ini, то очевидно, что никто не помешает 
> >>пользователю выключить его, то же касается любых вариантов ограничить
> >>действия пользователя средствами php.
> > 
> > 
> > Я не большой специалист по php, 
> 
> аналогично :(
> 
> > подскажите - как это организовать, чтобы проверить. 
> 
> Что именно проверить? Возможность доступа пользователей в домашние 
> каталоги друг друга? 

это очевидно. И правами на доступ, например user:apache (750) и , в разрезе php-cgi-safemode (при использовании suphp, при suexec наверное аналогично) параметром DocumentRoot в настройке виртуального хоста. По крайней мере, при разрешении выполнять программы из /bin явный вызов ls из php-скрипта показывал только то, что внутри DocumentRoot и ничего не показывал - что наруже.

>Так это подразумевается правами доступа к их 
> домашним каталогам, которые нельзя уменьшить как раз из-за suexec.
> 
> Или возможность включить safe_mode=on в php.ini? Так в случае cgi+suexec 
> этот файл должен принадлежать пользователю.
на этом и был вопрос по ссылке. Из-за проблемы, что php для каждого пользователя персональный и доступный для изменения (без уточнения какого изменения). Я правильно понял?

а в suphp используется один обший файл php, место расположение которого указывается при сборке (например, у меня /usr/local/bin/php). И в этом случае я не представляю, как можно изменить параметры php.ini

> 
> > Я представляю как это сделать для mod_php 
> > (через переменные php_admin_flag и php_admin_value в описании виртуального хоста), 
> > но не представляю как для php-cgi
> 
> Первый раз узнал про их существование - глянул в доку, но до конца не понял.
> 
> А если я использую эти директивы, то значения, определенные ими, в 
> php.ini игнорируются? 
я бы лучше сказал - переопределяются

> В cgi эти директивы использовать нельзя?
увы.. это к mod_php.


Но в моем случае mod_php не подходит. Там все скрипты от апача выполняются (что они там напишут - неотквотируешь).

> 
> -- 
> С уважением, Прокопьев Евгений
> 
> _______________________________________________
> Sisyphus mailing list
> Sisyphus на altlinux.ru
> http://altlinux.ru/mailman/listinfo/sisyphus
> 


-- 
Best Regards, Konstantin Klimchev 
(mailto:koka на atvc.ru    jabber:koka на jabber.ru)
ATK-Internet ISP, Arkhangelsk, Russia

Подробная информация о списке рассылки Sisyphus