Привет!
Есть апач.
ServerRoot /usr/local/apache
DocumentRoot /usr/local/apache/data
Там корпоративный сайт.
Хостятся публичные странички юзеров без CGI.
Лежат в /home/www/username. /home смонтирован как полагается,
nosuid, nodev etc.
Встала задача одному юзеру выложить CGI на perl.
Причем CGI его самописная. Прав на обновление CGI не давать.
CGI будет писать в его каталог, посему suEXEC, да и для надежности.
CGI просмотрел, положил. suEXEC пропатчил на предмет прикладывания
лимитов из /etc/login.conf (FreeBSD 3.5-STABLE).
Но гадский suEXEC не дает.
1. Не дает пускать скрипты не из рута, прописанного при
его компиляции. А прописан там /usr/local/apache, так как
там наши девелоперы держат свои скрипты.
Симлинк /usr/local/apache/${username} -> /home/${userdir} не помогает,
потому что апач пускает suexec в /usr/local/apache/${username},
а getcwd() возвращает /home/${userdir} - отресолвленный симлинк.
Пришлось оторвать эту проверку suexec.
2. Не дает пускать скрипты от юзера, ему не принадлежащие.
Пришлость опять же оторвать.
Вопросы: чем грозит 1 и нельзя ли не отрывать 2, то есть
не разрешить юзеру редактировать/удалять/создавать CGI
и при этом чтобы CGI ему принадлежали? Не могу понять, как это сделать.
Доступ к файлам у юзера только через FTP (стандартный ftpd от FreeBSD).
Eugene
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
