[sisyphus] Re: Apache2

[Денис Смирнов]

On Mon, Feb 23, 2004 at 10:00:52AM +0200, Michael Bochkaryov wrote:
 MB>>> /var/www/[virtaservers/](html|cgi-bin|logs|etc)/${virthost}
 MB> Доктор, а я что сказал? (c) анекдот :-)

/me неправильно понял [virtualservers/] перепутав их с $virtualserver :)
 
 MB> Имеем:
 MB> /var/www/html/* - read-only, noexec
 MB> /var/www/mod-perl/* - read-only
 MB> /var/www/cgi-bin/* - read-only
 MB> /var/www/logs/* - noexec (может, симлинк на /var/log/www)

Есть хотя бы одна причина не делать сразу /var/log/www/* ? Лишний раз
усложнять не хочется.

Осознано нарушать FHS из коробки, без на то серьёзных оснований, смысла не
вижу.

 MB> // Для своего удобства вебмастера себе могут симлинки делать.
 MB> // Но это уже их личное дело.

Вот-вот. Если понадобится -- понаделают симлинков хоть из /var/www/logs,
хоть из /bin, но это уже будут их личные трудности.
 
 MB> Кстати, с логами я как-то наступил на грабли с тем, что они апачем от 
 MB> рута пишутся.

Вернее -- от пользователя, от которого пускается апач. Можно апачей вешать
на старшие порты, а перед ними вешать одного апача с mod_proxy.
 
 MB> И, если мы это юзеру домой отдаем, то он может таких "чудес" натворить...
 MB> Например, сделав error_log симлинком на /etc/passwd, а потом cgi-кой в 
 MB> stderr написав.
 MB> Хорошо, что никто не успел воспользоваться.

У меня именно по этому скрипты конфигурации сами создают лог-файлы,
тестируют права на них, и.т.д.
 
 >> Против идеи требовать exec на /var/www/{vhosts,htdocs,html,или как там она
 >> будет называться} буду возражать очень громко. Так мы до слаквари
 >> докатимся, в которой exec требовался на /var/log :-E
 MB> Ой. :)

Вот-вот :)

-- 
С уважением, Денис

http://freesource.info