Re: [sisyphus] Re: Apache policy - предложения (was: : Apache2)
Evgeny Yugov
=?iso-8859-1?q?yugov_=CE=C1_scs-900=2Eru?=
Пт Фев 27 06:43:40 MSK 2004
Здравствуйте Денис,
Friday, February 27, 2004, 2:37:13 AM, you wrote:
ДС> On Thu, Feb 26, 2004 at 05:37:18PM +0300, Klimchev Konstantin wrote:
>>> Я вот думаю, может выкрутиться хитрее? Через safe_mode запрещается запись
>>> куда-либо, кроме как в песочницу. На песочнице стоит sgid и gid
>>> пользователя, после чего можно делать квоту по gid.
KK>> А можно здесь по-подробнее, чей-то я не догоняю как
KK>> процесс apache заставить писать файл с правами пользователя.
ДС> Если на каталоге установлен sgid, то:
ДС> 1. Любой созданый в этом каталоге объект будет иметь gid этого каталога
ДС> 2. Любой созданый в этом каталоге подкаталог будет также sgid
ДС> Соответственно если на каталоге будет стоять gid "vasya" и флажок sgid, то
ДС> какие-бы у apache не были uid/gid, всё равно созданый файл будет имет
ДС> группу родительского каталога.
ДС> Я уже давно подумываю написать статью про систему прав доступа в UNIX, ибо
ДС> многие такие вещи остаются незамечеными.
Могет пЫвом сподвигнуть на скорейшее? ;o)
ДС> Точно так же, как многие не знают
ДС> о флаге монтирования bsdgroups (который означает что на всём разделе
ДС> действует именно это правило, вне зависимости от sgid на каталоге),
Хм, а по подробнее? или хотя бы где? :o)
ДС> использование sticky-bit на каталогах, права вида 707 (запрет на доступ
ДС> пользователю с конкретной группой, не знаю везде ли это работает).
KK>> И еще - может быть в личку (а еще лучше в jabber) - а то
KK>> чё-то мы немного не по теме треда, а вопрос довольно интересный
ДС> Пока думаю есть смысл продолжать здесь, так как Apache сервис далеко не
ДС> редкоиспользуемый, и хоть хостингов здесь не слишком много, но выстраданое
ДС> в процессе наладки хостинга полезно и для многих других применений Apache
ДС> (с некоторыми оговорками, конечно).
Угу я много интересного узнал, особенно интересен "плюрализьм" с
построением вирт серверов... этот кусок можно было бы отдельно куда
вывалить, как справочную инфу...
--
With Best regards,
Evgeny Yugov,
MTS, programmer of Advanced Technologies Departament.
Registered Linux User #316667
mailto:yugov на scs-900.ru
Origin: Солидная фирма возьмет в аренду дырокол.
Подробная информация о списке рассылки Sisyphus