Re: [sisyphus] Re: Apache policy - предложения (was: : Apache2)

Evgeny Yugov =?iso-8859-1?q?yugov_=CE=C1_scs-900=2Eru?=
Пт Фев 27 06:43:40 MSK 2004


Здравствуйте Денис,

Friday, February 27, 2004, 2:37:13 AM, you wrote:

ДС> On Thu, Feb 26, 2004 at 05:37:18PM +0300, Klimchev Konstantin wrote:

 >>> Я вот думаю, может выкрутиться хитрее? Через safe_mode запрещается запись
 >>> куда-либо, кроме как в песочницу. На песочнице стоит sgid и gid
 >>> пользователя, после чего можно делать квоту по gid.
 KK>> А можно здесь по-подробнее, чей-то я не догоняю как
 KK>> процесс apache заставить писать файл с правами пользователя. 

ДС> Если на каталоге установлен sgid, то:
ДС> 1. Любой созданый в этом каталоге объект будет иметь gid этого каталога
ДС> 2. Любой созданый в этом каталоге подкаталог будет также sgid

ДС> Соответственно если на каталоге будет стоять gid "vasya" и флажок sgid, то
ДС> какие-бы у apache не были uid/gid, всё равно созданый файл будет имет
ДС> группу родительского каталога.

ДС> Я уже давно подумываю написать статью про систему прав доступа в UNIX, ибо
ДС> многие такие вещи остаются незамечеными.

Могет пЫвом сподвигнуть на скорейшее? ;o)

ДС> Точно так же, как многие не знают
ДС> о флаге монтирования bsdgroups (который означает что на всём разделе
ДС> действует именно это правило, вне зависимости от sgid на каталоге),

Хм, а по подробнее? или хотя бы где? :o)

ДС> использование sticky-bit на каталогах, права вида 707 (запрет на доступ
ДС> пользователю с конкретной группой, не знаю везде ли это работает).
 
 KK>> И еще - может быть в личку (а еще лучше в jabber) - а то
 KK>> чё-то мы немного не по теме треда, а вопрос довольно интересный

ДС> Пока думаю есть смысл продолжать здесь, так как Apache сервис далеко не
ДС> редкоиспользуемый, и хоть хостингов здесь не слишком много, но выстраданое
ДС> в процессе наладки хостинга полезно и для многих других применений Apache
ДС> (с некоторыми оговорками, конечно).

Угу я много интересного узнал, особенно интересен "плюрализьм" с
построением вирт серверов... этот кусок можно было бы отдельно куда
вывалить, как справочную инфу...


-- 
With Best regards,
Evgeny Yugov,
MTS, programmer of Advanced Technologies Departament.
Registered Linux User #316667
mailto:yugov на scs-900.ru

Origin: Солидная фирма возьмет в аренду дырокол.




Подробная информация о списке рассылки Sisyphus