In <363A1B79.AAFBB672@escortcorp.com> Vladimir Pastukhov (vol@escortcorp.com)
wrote:
VP> Khimenko Victor wrote:
>>
>> Ну раз мои RPM'ы ставились, то я и отвечать должен, наверное :-)) Посмотри на
>> suEXEC'овские жалобы -- IMO ему просто не нравится исполнять то, что не в
>> /home/httpd/html ... Нормальных настроек это не касается, а как быть с
>> VirtualHost -- я не знаю :-(( Не проверять на DocumentRoot совсем ?
>Образуется
>> внушительный security hole :-(( Видимо требовать чтобы все было в
>/home/httpd и
>> заставлять все VirtualHost'ы жить там (но не обязательно в /home/httpd/html).
>> Но достаточно ли этого ? Что общественность по этому поводу думает ?
VP> У себя я пока так и сделал (/home/httpd/html), но может быть лучше
попробовать
VP> заставить апача передавать suexec'у текущий DocumentRoot?
Гм. Собственно вся идея проверок в suEXEC'е (и этой в том числе) заключается в
том, что враг, "притворившийся" Apache'м (это не очень сложно) все равно немного
чего натворит. Так что единственная разумная идея -- просматривать конфига
Apache'а и смотреть что там написано, но если делать это при каждом запуске
скрипта, то мало не покажется :-(( Можно организовывать сложные схемы
кеширования, но это не ко мне (и вообще основная идея suEXEC'а в том, что
он "простой как грабли" и поэтому неопасно делать его SUID root, что будет
этими схемами явно нарушено)...
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
