[sisyphus] Re: Apache2
Денис Смирнов
=?iso-8859-1?q?mithraen_=CE=C1_freesource=2Einfo?=
Вт Фев 24 00:30:26 MSK 2004
On Mon, Feb 23, 2004 at 10:00:52AM +0200, Michael Bochkaryov wrote:
MB>>> /var/www/[virtaservers/](html|cgi-bin|logs|etc)/${virthost}
MB> Доктор, а я что сказал? (c) анекдот :-)
/me неправильно понял [virtualservers/] перепутав их с $virtualserver :)
MB> Имеем:
MB> /var/www/html/* - read-only, noexec
MB> /var/www/mod-perl/* - read-only
MB> /var/www/cgi-bin/* - read-only
MB> /var/www/logs/* - noexec (может, симлинк на /var/log/www)
Есть хотя бы одна причина не делать сразу /var/log/www/* ? Лишний раз
усложнять не хочется.
Осознано нарушать FHS из коробки, без на то серьёзных оснований, смысла не
вижу.
MB> // Для своего удобства вебмастера себе могут симлинки делать.
MB> // Но это уже их личное дело.
Вот-вот. Если понадобится -- понаделают симлинков хоть из /var/www/logs,
хоть из /bin, но это уже будут их личные трудности.
MB> Кстати, с логами я как-то наступил на грабли с тем, что они апачем от
MB> рута пишутся.
Вернее -- от пользователя, от которого пускается апач. Можно апачей вешать
на старшие порты, а перед ними вешать одного апача с mod_proxy.
MB> И, если мы это юзеру домой отдаем, то он может таких "чудес" натворить...
MB> Например, сделав error_log симлинком на /etc/passwd, а потом cgi-кой в
MB> stderr написав.
MB> Хорошо, что никто не успел воспользоваться.
У меня именно по этому скрипты конфигурации сами создают лог-файлы,
тестируют права на них, и.т.д.
>> Против идеи требовать exec на /var/www/{vhosts,htdocs,html,или как там она
>> будет называться} буду возражать очень громко. Так мы до слаквари
>> докатимся, в которой exec требовался на /var/log :-E
MB> Ой. :)
Вот-вот :)
--
С уважением, Денис
http://freesource.info
Подробная информация о списке рассылки Sisyphus