In <363A2FAF.581BCB8F@xxxxxxxxxxxxxx> Vladimir Pastukhov (vol@xxxxxxxxxxxxxx) wrote:
VP> Khimenko Victor wrote:
>>
>> Гм. Собственно вся идея проверок в suEXEC'е (и этой в том числе) заключается в
>> том, что враг, "притворившийся" Apache'м (это не очень сложно) все равно немного
VP> Если в суекзеке проверить uid/gid парента, то может быть этого будет
VP> достаточно?
Нет.
VP> Не-руту сложно кем-нибудь прикинуться. Разве что дыра в апаче. Надо подумать.
Именно дыра в Apache -- думаешь зря он под Root'ом не работает ? Apache СДЕЛАН
В РАСЧЕТЕ НА ТО, ЧТО В НЕМ БУДУТ ДЫРЫ! Он же из модулей состоит -- мало ли
кто чего в каком модуле натворит... Конечно все проблемы по мере сил
вылавливаются, но закладываться на отсутствие дыр в Apache я бы не стал...
>> чего натворит. Так что единственная разумная идея -- просматривать конфига
>> Apache'а и смотреть что там написано, но если делать это при каждом запуске
>> скрипта, то мало не покажется :-(( Можно организовывать сложные схемы
>> кеширования, но это не ко мне (и вообще основная идея suEXEC'а в том, что
>> он "простой как грабли" и поэтому неопасно делать его SUID root, что будет
>> этими схемами явно нарушено)...
VP> Может suexec'у свой конфиг завести:
VP> <dir1> <uid1> <gid1>
VP> <dir2> <uid2> <gid2>
VP> Распарсить элементарно. Если DocRoot'ов немного, то и быстро.
Может быть. Но это IMHO нужно обсуждать не здесь, а с разработчиками Apache...
=============================================================================
= Apache-Talk@xxxxxxxxxxxxx mailing list =
Mail "unsubscribe apache-talk" to majordomo@xxxxxxxxxxxxx if you want to quit.
= Archive avaliable at http://www.lexa.ru/apache-talk =
"Russian Apache" includes software developed
by the Apache Group for use in the Apache HTTP server project
(http://www.apache.org/) See
Apache LICENSE.
Copyright (C) 1995-2001 The Apache Group. All rights reserved.
Copyright (C) 1996 Dm. Kryukov; Copyright (C)
1997-2009 . Design (C) 1998 Max Smolev.
