ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА














     АРХИВ :: Apache-Talk
Apache-Talk mailing list archive (apache-talk@lists.lexa.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Re[2]: [apache-talk] CGI for users?



In <38890407@lexa.ru> Alex Tutubalin (lexa@lexa.ru) wrote:

AT> Hi,

 >>> Я не понимай. man chmod ?
 at>>  Hет, конечно. 8-) Я говорил про chroot для каждого
 at>> пользователя со всеми вытекающими отсюда последствиями..
AT> chroot - слишком много геммороя, хотя наверное деваться в общем случае 
некуда.
AT> И я все-равно не понимаю, что делать с общесистемными вещами вроде перловых
AT> библиотек и всего такого. Представим себе тазик на 1000 юзеров - что N*1000
AT> mount-ов с этими потрохами в ~user ? Как-то слишком.

А догадайся с трех раз - откуда в l-k mailing list'е берутся люди, которые
плачутся о том, что limit на hardlink'и у Linux'а маловат (всего-то 65535,
понимаешь :-)

 >>> Можно, например, подкрутить umask в ftpd, чтобы по-умолчанию все
 >>> клалось с правами rw-------, правда придется тогда запускать httpd
 >>> от имени этого юзера, что придется делать из (хаченого) inetd.

 at>>  Можно. И вероятно, это наиболее правильный выход. Ты не
 at>> нигде не сталкивался со сравнением, насколько замедляет
 at>> по скорости запуск apache из inetd ?
AT> Порядка на полтора :) или что-то в этом духе.

AT> В-принципе, можно поступить так - каждому пользователю по группе, файлы с
AT> правами rw(x)rw(x)---, а пользователя от которого исполняется httpd 
добавить во
AT> все эти группы.

И umask 002 ... Вполне работоспособное решение, BTW. Только файлы можно оставить
rw(x)rw(x)r-(x) - достаточно подкаталогу назначить rw(x)r-(s)--- и все. И
скрипты через suexec.

 >>>  at> мнения именно по этому вопросу, а не по тому, заставлять ли
 >>>  at> людей переписывать на PHP какой-нибудь скрипт в их интернет-
 >>> Таким людям надо предложить colocation и снять с себя головную боль
 >>> по их security.
 at>> Так это дороже стоит. А они все жадные 8-)
AT> Увы. security стоит денег, не надо этого скрывать от юзера.

Именно. Если он потратил две штуки на свой комплекс, то может потратить денег
и на то, чтобы ему отдельную "каморку" через chroot и т.п. (а то и вообще
дополнительную машину) организовали...




=============================================================================
=               Apache-Talk@lists.lexa.ru mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =



 




Copyright © Lexa Software, 1996-2009.