Russian Apache mailing list archive (apache-rus@lists.lexa.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Re[2]: [apache-talk] CGI for users?

To: apache-talk@xxxxxxxxxxxxx, lexa@xxxxxxx
Subject: Re: Re[2]: [apache-talk] CGI for users?
From: "Khimenko Victor" <khim@xxxxxxxxxxxx>
Date: Sat, 22 Jan 2000 09:30:03 +0300 (MSK)
Organization: MCCME
References: <38890407@xxxxxxx>

In <38890407@xxxxxxx> Alex Tutubalin (lexa@xxxxxxx) wrote:

AT> Hi,

 >>> Я не понимай. man chmod ?
 at>>  Hет, конечно. 8-) Я говорил про chroot для каждого
 at>> пользователя со всеми вытекающими отсюда последствиями..
AT> chroot - слишком много геммороя, хотя наверное деваться в общем случае некуда.
AT> И я все-равно не понимаю, что делать с общесистемными вещами вроде перловых
AT> библиотек и всего такого. Представим себе тазик на 1000 юзеров - что N*1000
AT> mount-ов с этими потрохами в ~user ? Как-то слишком.

А догадайся с трех раз - откуда в l-k mailing list'е берутся люди, которые
плачутся о том, что limit на hardlink'и у Linux'а маловат (всего-то 65535,
понимаешь :-)

 >>> Можно, например, подкрутить umask в ftpd, чтобы по-умолчанию все
 >>> клалось с правами rw-------, правда придется тогда запускать httpd
 >>> от имени этого юзера, что придется делать из (хаченого) inetd.

 at>>  Можно. И вероятно, это наиболее правильный выход. Ты не
 at>> нигде не сталкивался со сравнением, насколько замедляет
 at>> по скорости запуск apache из inetd ?
AT> Порядка на полтора :) или что-то в этом духе.

AT> В-принципе, можно поступить так - каждому пользователю по группе, файлы с
AT> правами rw(x)rw(x)---, а пользователя от которого исполняется httpd добавить во
AT> все эти группы.

И umask 002 ... Вполне работоспособное решение, BTW. Только файлы можно оставить
rw(x)rw(x)r-(x) - достаточно подкаталогу назначить rw(x)r-(s)--- и все. И
скрипты через suexec.

 >>>  at> мнения именно по этому вопросу, а не по тому, заставлять ли
 >>>  at> людей переписывать на PHP какой-нибудь скрипт в их интернет-
 >>> Таким людям надо предложить colocation и снять с себя головную боль
 >>> по их security.
 at>> Так это дороже стоит. А они все жадные 8-)
AT> Увы. security стоит денег, не надо этого скрывать от юзера.

Именно. Если он потратил две штуки на свой комплекс, то может потратить денег
и на то, чтобы ему отдельную "каморку" через chroot и т.п. (а то и вообще
дополнительную машину) организовали...

=============================================================================
=               Apache-Talk@xxxxxxxxxxxxx mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@xxxxxxxxxxxxx if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =

References:
- Re[2]: [apache-talk] CGI for users?
  - From: Alex Tutubalin

Prev by Date: Re: Re[4]: [apache-talk] php's config
Next by Date: Re[2]: [apache-talk] php's config
Previous by thread: Re: Re[2]: [apache-talk] CGI for users?
Next by thread: Re: Re[2]: [apache-talk] CGI for users?
Index(es):
- Date
- Thread

Спонсоры сайта:

[ Russian Apache ] [ Как это работает ] [ Рекомендации ] [ Где взять ] [ Как установить ] [ Как настроить ] [ Статус и поддержка ] [ Краткий обзор ] [ FAQ ] [ Список рассылки ] [ Благодарности ] [ Поиск по серверу ] [ Powered by Russian Apache ] [ Apache-talk archive ]

"Russian Apache" includes software developed by the Apache Group for use in the Apache HTTP server project (http://www.apache.org/) See Apache LICENSE. Copyright (C) 1995-2001 The Apache Group. All rights reserved. Copyright (C) 1996 Dm. Kryukov; Copyright (C) 1997-2009 Alex Tutubalin. Design (C) 1998 Max Smolev.