On Sat, Aug 30, 2003 at 12:22:48AM +0200, Tomasz P. Kotecki wrote: > W liście z pią, 29-08-2003, godz. 23:13, Wojciech Kuranowski pisze: > > Hmmm.... SOA#1 > > > > mkdir xxx > > chown owner:users xxx > > chmod 705 xxx > > > > i nikt z grupy users nie dostanie sie do tego, oprocz ownera. tak samo z > > plikami, tylko, ze daj prawa 604. apache dziala domyslnie w debianie > > jako www-data, wiec zalicza sie do others i ma dostep do tych plikow. > > to musi dzialac:) > > > > dla /home/user mozesz dac 701 > > dla public_html i innych katalogow - 705 > > dla plikow w public_html - 604 > > > > wrzuc tylko userow do tej samej grupy. > > > > i daj: > > cd /home/user/public_html > > chown -R owner:users . > > no ladnie. rzeczywiscie, jest to 'metoda... najdoskonalsza' :) jeszcze > pytanko dotyczace bezpieczenstwa: czy istnieje mozliwosc (draze temat z > ciekawosci, bo jesli chodzi o bezpieczenstwo to lamer ze mnie), ze ktos > sie podszyje pod nie-usera? tzn. jakies bugi w oprogramowaniu sie > zdarzaja tego typu, ze mozna buszowac np. jako www-data?
apache, czyli uzytkownik www-data, potrafi dostac sie wszedzie do public_html. wszystkie skrypty php dzialaja z uprawnieniami www-data, wiec tez beda mogly dostac sie do kazego public_htmla. proponuje ci zdjac atrybuty read z wszystkich katalogow, lacznie z public_html. czyli ustawiasz 701. teraz nawet ktos o uprawnieniach www-data, albo innych zobaczy pustke w tych katalogach. trzeba znac dokladna nazwe pliku,zeby cokolwiek odczytac. nie dotyczy, grupy users, bo oni nic nie moga zrobic, oprocz ownera. oczywiscie pierwszy strzal to index.php lub podobny:) cudzy skrypt php moze zajrzec do twojego home i odczytac z index.php pare rzeczy. pozostaje odpalanie skryptow php z prawami uzytkownika - ownera skryptow, a nie www-data. jak to zrobic? httpd.apache.org - poczytaj doki:) Pozdrawiam.