Russian Apache mailing list archive (apache-rus@lists.lexa.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [apache-talk] VirtualHost & suexec & printenv

To: apache-talk@xxxxxxxxxxxxx
Subject: Re: [apache-talk] VirtualHost & suexec & printenv
From: Vladimir Pastukhov <vol@xxxxxxxxxxxxxx>
Date: Sat, 31 Oct 1998 02:28:59 +0500
Organization: Escort Corp.
References: <363A1B79.AAFBB672@xxxxxxxxxxxxxx> <Pine.LNX.4.04.9810301612040.8914-100000@xxxxxxxxxxxx> <ABb2XEsK9A@xxxxxxxxxxxxx> <AAMyXEsGSS@xxxxxxxxxxxxx>

Khimenko Victor wrote:
> 
> Гм. Собственно вся идея проверок в suEXEC'е (и этой в том числе) заключается в
> том, что враг, "притворившийся" Apache'м (это не очень сложно) все равно немного

Если в суекзеке проверить uid/gid парента, то может быть этого будет
достаточно?
Не-руту сложно кем-нибудь прикинуться. Разве что дыра в апаче. Надо подумать.

> чего натворит. Так что единственная разумная идея -- просматривать конфига
> Apache'а и смотреть что там написано, но если делать это при каждом запуске
> скрипта, то мало не покажется :-(( Можно организовывать сложные схемы
> кеширования, но это не ко мне (и вообще основная идея suEXEC'а в том, что
> он "простой как грабли" и поэтому неопасно делать его SUID root, что будет
> этими схемами явно нарушено)...

Может suexec'у свой конфиг завести:
<dir1> <uid1> <gid1>
<dir2> <uid2> <gid2>
Распарсить элементарно. Если DocRoot'ов немного, то и быстро.

-- 
Vladimir Pastukhov <vol@xxxxxxxxxxxxxx>
=============================================================================
=               Apache-Talk@xxxxxxxxxxxxx mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@xxxxxxxxxxxxx if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =

References:
- Re: [apache-talk] VirtualHost & suexec & printenv
  - From: Vladimir Pastukhov
- [apache-talk] VirtualHost & suexec & printenv
  - From: Artem Chuprina
- Re: [apache-talk] VirtualHost & suexec & printenv
  - From: Khimenko Victor
- Re: [apache-talk] VirtualHost & suexec & printenv
  - From: Khimenko Victor

Prev by Date: [apache-talk] VirtualHost & suexec & printenv
Next by Date: Re: [apache-talk] VirtualHost & suexec & printenv
Previous by thread: Re: [apache-talk] VirtualHost & suexec & printenv
Next by thread: Re: [apache-talk] VirtualHost & suexec & printenv
Index(es):
- Date
- Thread

Спонсоры сайта:

[ Russian Apache ] [ Как это работает ] [ Рекомендации ] [ Где взять ] [ Как установить ] [ Как настроить ] [ Статус и поддержка ] [ Краткий обзор ] [ FAQ ] [ Список рассылки ] [ Благодарности ] [ Поиск по серверу ] [ Powered by Russian Apache ] [ Apache-talk archive ]

"Russian Apache" includes software developed by the Apache Group for use in the Apache HTTP server project (http://www.apache.org/) See Apache LICENSE. Copyright (C) 1995-2001 The Apache Group. All rights reserved. Copyright (C) 1996 Dm. Kryukov; Copyright (C) 1997-2009 Alex Tutubalin. Design (C) 1998 Max Smolev.