Khimenko Victor wrote:
>
> Гм. Собственно вся идея проверок в suEXEC'е (и этой в том числе) заключается в
> том, что враг, "притворившийся" Apache'м (это не очень сложно) все равно
>немного
Если в суекзеке проверить uid/gid парента, то может быть этого будет
достаточно?
Не-руту сложно кем-нибудь прикинуться. Разве что дыра в апаче. Надо подумать.
> чего натворит. Так что единственная разумная идея -- просматривать конфига
> Apache'а и смотреть что там написано, но если делать это при каждом запуске
> скрипта, то мало не покажется :-(( Можно организовывать сложные схемы
> кеширования, но это не ко мне (и вообще основная идея suEXEC'а в том, что
> он "простой как грабли" и поэтому неопасно делать его SUID root, что будет
> этими схемами явно нарушено)...
Может suexec'у свой конфиг завести:
<dir1> <uid1> <gid1>
<dir2> <uid2> <gid2>
Распарсить элементарно. Если DocRoot'ов немного, то и быстро.
--
Vladimir Pastukhov <vol@escortcorp.com>
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
