Witam, > [...]
> > Bardziej martwiłbym się tym, że jeśli klient będzie marudził o > > safe_mode=off w php.ini bo nie może zainstalować sobie osCommerce (lub > > inny powód) to mu się to da. Jeśli już mu się da, to może sobie zrobić > > skrypt myszkujący po /home/vhosts/ który to skrypt będzie szukał > > config.php i zapisywał/wysyłał gdzieś jego zawartość. > > O safe_mode nie ma mowy, bo po pierwsze wiążą się z nim dodatkowe problemy > a po drugie w php6 już nie będzie safe_mode (nie mogę się nigdzie doczytać > co chcą dać w zamian). safe_mode to przykład. Chodzi mi o bezpieczeństwo samych aplikacji odpalanych na Twojej maszynie. Ty możesz zabezpieczyć serwer, ale ludzie będą tam wrzucać różne bzdury. > > Rozwiązanie AppArmor. > > Ale co konkretnie da mi AppArmor - to, że apache nie będzie mógł odczytać > zawartości /home/clients? Przecież to mogę zrobić uprawnieniami 111 dla > /home/clients... Jak ktoś ma stronę duperele.pl i widzi że jest w > /home/clients/duperele, to domyśli się że bzdury.pl są w > /home/clients/bzdury - i "zabezpieczenie" na nic. Sprawę rozwiązuje moje > dodanie losowego katalogu po drodze - czyli /home/clients/<hash>/nazwa - Security by obscurity. > czy w takim układzie AppArmor może mi cokolwiek dać, poza zabronieniem > userowi apache dostępu do czegokolwiek poza /home/clients? Tak. Da i to więcej niż przypuszczasz. Dla każdego $login dajesz osobne regułki. http://www.youtube.com/watch?v=EgrfmSm0NWs http://www.maven.pl/2006/12/13/apparmor-protection-for-your-apache-including-mod_php-mod_python-and-others/ > Bo zakładam że > system sam w sobie jest bezpieczny i nie ma możliwości by ktoś skryptem PHP > namieszał gdziekolwiek... DUŻY błąd. -- Pozdrawiam, Best regards, Mit freundlichen Grüßen, Wojciech "Wojtosz" Błaszkowski www.blaszkowski.com GSM: +48 600 197 207 JID: wojt...@jabber.biz.pl _______________________________________________ pld-users-pl mailing list pld-users-pl@lists.pld-linux.org http://lists.pld-linux.org/mailman/listinfo/pld-users-pl