ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА














     АРХИВ :: Apache-Talk
Apache-Talk mailing list archive (apache-talk@lists.lexa.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [apache-talk] Apache in too many groups



In <007e01c0021a$cde1b3a0$0c00a8c0@ipform.ru> Artem Koutchine 
(matrix@ipform.ru) wrote:

AK> ----- Original Message -----
AK> From: Vladimir Bormotov <bor@kiev-konti.com>
AK> To: <apache-talk@lists.lexa.ru>
AK> Sent: Wednesday, August 09, 2000 7:50 PM
AK> Subject: Re: [apache-talk] Apache in too many groups


>>                 Hi!
>>
>> > >  В качесве наводящей мысли - попробуй у себя просто сделать юзера,
>> > >  который бы входил более чем в 16 групп.
>>
>> > Дык я уже его сделал, и вроде ничего плохого.
>>
>>  Т.е. пользователь может быть более чем в 16-ти группах, и везде получает
>>  доступ к необходимым файлам?
>>
>>  Просто я сталкивался с тем, что на FreeBSD (3.x - точнее версию не помню)
>>  была та-же проблема (я той машинкой не рулю я там пользователь, и
AK> проблема
>>  возникла не у меня, а у более других пользователей :)
>>
>> > Ну предположим, что так нельзя, а что же тогда делать, какую
>> > permission модель сделать? У меня уже идей нет.
>>
>>  Кажется это называется jail, или что-то в этом роде.
>>

AK> У меня FreeBSD 4.1-STABLE
AK> Босю, что jail сюда просто не пристроишь. Это suEXEC патчить надо, а если
AK> так,
AK> то лучше его сразу запатчить, чтобы он security со своей стороны приспустил.
AK> Я вообще
AK> не понимаю от куда эта проблема, это ведь естественное желание, чтобы
AK> пользователи
AK> виртуальных серверов не лезли друг к другу, неужели не у кого это не решено?

Желание НЕестественное, если подумать. То, что к чему имеет доступ apache
должны иметь досту все. Apache - НЕ является программой, которой можно на
100% доверять в смысле безопасности. А если ее взломают (а, еще раз повторяю,
Apache проектировался НЕ с рассчетом на невзламываемость, а вовсе даже наоборот:
с рассчетом на то, что его будут НЕПРЕРЫВНО взламывать - по крайней мере
локальные пользователи; удаленным сложнее - а он будет продолжать работать).
Соотвественно любое его использование должно эту особенность учитывать :-)

AK> Ведь
AK> это означает, что получив хостинг, скажем, в демосе, я спокой могу прочитать
AK> все чужие
AK> скрипты, спереть, может быть, очень дорогое ПО. Но я не думаю, что это так.
AK> Так как
AK> же эта проблема решается?

Очень просто. Если кому ДЕЙСТВИТЕЛЬНО нужно защитить свое "очень дорогое ПО"
даже от чтения, то он может заплатить дополнительно денег и ему организуют
отдельный сервер (за эти же деньки пямяти в машину добъют, если совсем много
заплатит - отдельный сервер поставят :-) Обычных пользователей через ssh не
пускают (еще чего не хватало :-), а через ftp (с помощью chroot) доступ - только
к себе в home. Все.



=============================================================================
=               Apache-Talk@lists.lexa.ru mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =



 




Copyright © Lexa Software, 1996-2009.