Добрый день.
VV> Я постепенно превращаюсь в вэбхостера, причем люди разные (untrusted)
VV> и причем хотят CGI-BIN на запись, PHP, MYSQL
VV> как обезопасить от них сервер и их одного от другово?
VV> вы скажете что uid == nobody но я даже ноубодя боюсь.
Ты знаешь, я по этой теме достаточно много думал (читал пейджер, в
смысле dejanews ;-), спрашивал у разных умных людей. В результате то,
что я узнал, можно резюмировать примерно так:
1. Лучше осуществлять хостинг на отдельной тачке, которая даже если
упадет или ее кто-то взломает, никакая коммерческая/служебная
информация не пропадет. При этом, само собой, каждый день/час/etc все
бэкапится.
2. Апач собирается с suexec'ом.
3. В настройках каждого сервера указываются юзер и группа, от которых
запускаются скрипты. При этом, можно всех юзеров объединить в одну
группу, а можно каждого в отдельную. Понятно, что в первом варианте
юзера смогут читать файлы и каталоги друг друга.
4. Ставится Ftp-server, который умеет chroot'иться и прописываем в
качестве DocRoot'а каждого сервера хоум соответствующего юзера.
5. Есть еще один вариант для особо параноидальных товарищей :) Каждому
пользователю заводить отдельную "мини-систему" со своими перлами,
либами, etc и ставить restricted shell.
С уважением,
Александр Колесник.
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
