In <363A2FAF.581BCB8F@escortcorp.com> Vladimir Pastukhov (vol@escortcorp.com)
wrote:
VP> Khimenko Victor wrote:
>>
>> Гм. Собственно вся идея проверок в suEXEC'е (и этой в том числе) заключается
>в
>> том, что враг, "притворившийся" Apache'м (это не очень сложно) все равно
>немного
VP> Если в суекзеке проверить uid/gid парента, то может быть этого будет
VP> достаточно?
Нет.
VP> Не-руту сложно кем-нибудь прикинуться. Разве что дыра в апаче. Надо
подумать.
Именно дыра в Apache -- думаешь зря он под Root'ом не работает ? Apache СДЕЛАН
В РАСЧЕТЕ НА ТО, ЧТО В НЕМ БУДУТ ДЫРЫ! Он же из модулей состоит -- мало ли
кто чего в каком модуле натворит... Конечно все проблемы по мере сил
вылавливаются, но закладываться на отсутствие дыр в Apache я бы не стал...
>> чего натворит. Так что единственная разумная идея -- просматривать конфига
>> Apache'а и смотреть что там написано, но если делать это при каждом запуске
>> скрипта, то мало не покажется :-(( Можно организовывать сложные схемы
>> кеширования, но это не ко мне (и вообще основная идея suEXEC'а в том, что
>> он "простой как грабли" и поэтому неопасно делать его SUID root, что будет
>> этими схемами явно нарушено)...
VP> Может suexec'у свой конфиг завести:
VP> <dir1> <uid1> <gid1>
VP> <dir2> <uid2> <gid2>
VP> Распарсить элементарно. Если DocRoot'ов немного, то и быстро.
Может быть. Но это IMHO нужно обсуждать не здесь, а с разработчиками Apache...
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
