dan tamas gmail wrote: > On Wednesday 20 July 2005 00:19, Mihai Dumitrescu wrote: > >>Salut, >> >>Lucrez la un script php (accesat prin web) care >>trebuie sa modifice anumite fisiere ale unui user >>numit in cazul de fata 'billy' (/home/billy). Problema >>este ca billy vrea 0711 pe fisierle/direcotarele lui. >>Scriptul php (rulat prin apache) trebuie sa citeasca >>si modifice fisierele/directoarele din >>/home/billy/public_html. Insa nu are aceste drepturi, >>caci scriptul se executa sub userul 'nobody' (care >>cred ca este apache-ul). Am incercat sa folosesc su >>a.i. 'nobody' sa aiba drepturile lui billy cand >>acceseaza continutul /home/billy/public_html. DAR pt >>su trebuie data parola, care nu se poate da ca si >>parametru in script (este citita de la stdin). Cum pot >>face ca apache (nobody) sa se autentifice ca si billy >>(care are parola pe cont)??? >>Daca aveti alta metoda dect su va rog sa ma luminati. >> >>Multumesc mult, >> >>Mihai D. > > > cel mai safe mie mi se pare un cronjob care sa faca chmod pe repectivele > fisiere > CRONJOBS IN ACEST CONTEXT SINT O IDEE FOARTE PROASTA. ce faci daca moare cron, sau dintr-un motiv oarecare ceasul o ia razna? solutii: a) folosesti sudoers ca sa lasi scriptul sa dea "sudo comanda" fara parola (man sudoers) b) bagi apache in acelasi grup cu billy (man usermod) c) te bazezi pe extended access lists (daca filesystemul + kernelul) au suport si dai acces de scriere si lui apache (man acl)
ca fapt divers, ori de cite ori scripturile php au voie sa scrie, e mai mult decit util sa te gindesti de 3 ori daca intr-adevar vrei sa faci asta. dupa care sa verifici de 10 ori datele primite ca parametri de la user si de inca 100 de ori sa verifici comenzile pe care le executi. lonely 'passthu "+rm -fR / rulz ' wolf --- Detalii despre listele noastre de mail: http://www.lug.ro/
