[sisyphus] Re: Apache2

Вт Фев 24 12:08:18 MSK 2004

Денис Смирнов пишет:

>On Mon, Feb 23, 2004 at 10:00:52AM +0200, Michael Bochkaryov wrote:
> MB>>> /var/www/[virtaservers/](html|cgi-bin|logs|etc)/${virthost}
> MB> Доктор, а я что сказал? (c) анекдот :-)
>
>/me неправильно понял [virtualservers/] перепутав их с $virtualserver :)
>  
>
:-)

> MB> Имеем:
> MB> /var/www/html/* - read-only, noexec
> MB> /var/www/mod-perl/* - read-only
> MB> /var/www/cgi-bin/* - read-only
> MB> /var/www/logs/* - noexec (может, симлинк на /var/log/www)
>
>Есть хотя бы одна причина не делать сразу /var/log/www/* ? Лишний раз
>усложнять не хочется.
>
>Осознано нарушать FHS из коробки, без на то серьёзных оснований, смысла не
>вижу.
>  
>
Согласен - /var/log/www смотрится более логично.

[skip]

>  MB> Кстати, с логами я как-то наступил на грабли с тем, что они апачем от 
> MB> рута пишутся.
>
>Вернее -- от пользователя, от которого пускается апач. Можно апачей вешать
>на старшие порты, а перед ними вешать одного апача с mod_proxy.
>  
>

Я бы предпочел открыть "дырку" для непривилегированного пользователя на 
80-м порту.
Сущности плодить тоже не есть лучшим выходом из ситуации. Впрочем, после 
вынесения
логов в /var/log/www это становится не настолько актуальным.

>  MB> И, если мы это юзеру домой отдаем, то он может таких "чудес" натворить...
> MB> Например, сделав error_log симлинком на /etc/passwd, а потом cgi-кой в 
> MB> stderr написав.
> MB> Хорошо, что никто не успел воспользоваться.
>
>У меня именно по этому скрипты конфигурации сами создают лог-файлы,
>тестируют права на них, и.т.д.
>  
>

Ну, в то время я был намного более чайником.
Сейчас предпочитаю грабли посерьезнее. :-)

-- 
Michael Bochkaryov
Kyivstar GSM
Phone: +380 67 2206770

--
This message was scanned for viruses and it's not infected.
Kyivstar GSM.