[sisyphus] Re: Apache policy - предложения (was: : Apache2)

[Денис Смирнов]

On Thu, Feb 26, 2004 at 05:37:18PM +0300, Klimchev Konstantin wrote:

 >> Я вот думаю, может выкрутиться хитрее? Через safe_mode запрещается запись
 >> куда-либо, кроме как в песочницу. На песочнице стоит sgid и gid
 >> пользователя, после чего можно делать квоту по gid.
 KK> А можно здесь по-подробнее, чей-то я не догоняю как процесс apache заставить писать файл с правами пользователя. 

Если на каталоге установлен sgid, то:
1. Любой созданый в этом каталоге объект будет иметь gid этого каталога
2. Любой созданый в этом каталоге подкаталог будет также sgid

Соответственно если на каталоге будет стоять gid "vasya" и флажок sgid, то
какие-бы у apache не были uid/gid, всё равно созданый файл будет имет
группу родительского каталога.

Я уже давно подумываю написать статью про систему прав доступа в UNIX, ибо
многие такие вещи остаются незамечеными. Точно так же, как многие не знают
о флаге монтирования bsdgroups (который означает что на всём разделе
действует именно это правило, вне зависимости от sgid на каталоге),
использование sticky-bit на каталогах, права вида 707 (запрет на доступ
пользователю с конкретной группой, не знаю везде ли это работает).
 
 KK> И еще - может быть в личку (а еще лучше в jabber) - а то чё-то мы немного не по теме треда, а вопрос довольно интересный

Пока думаю есть смысл продолжать здесь, так как Apache сервис далеко не
редкоиспользуемый, и хоть хостингов здесь не слишком много, но выстраданое
в процессе наладки хостинга полезно и для многих других применений Apache
(с некоторыми оговорками, конечно).

-- 
С уважением, Денис

http://freesource.info