Russian Apache Switch to English
Switch to Russian koi8-r
windows=1251
cp-866
iso8859-5
Russian Apache Как это работает Рекоммендации Где взять Как установить Как настроить Статус и поддержка
Краткий обзор FAQ Список рассылки Благодарности Поиск по серверу Powered by Russian Apache
Russian Apache mailing list archive (apache-rus@lists.lexa.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [apache-talk] Apache in too many groups

In <007e01c0021a$cde1b3a0$0c00a8c0@xxxxxxxxx> Artem Koutchine (matrix@xxxxxxxxx) wrote:

AK> ----- Original Message -----
AK> From: Vladimir Bormotov <bor@xxxxxxxxxxxxxx>
AK> To: <apache-talk@xxxxxxxxxxxxx>
AK> Sent: Wednesday, August 09, 2000 7:50 PM
AK> Subject: Re: [apache-talk] Apache in too many groups


>>                 Hi!
>>
>> > >  В качесве наводящей мысли - попробуй у себя просто сделать юзера,
>> > >  который бы входил более чем в 16 групп.
>>
>> > Дык я уже его сделал, и вроде ничего плохого.
>>
>>  Т.е. пользователь может быть более чем в 16-ти группах, и везде получает
>>  доступ к необходимым файлам?
>>
>>  Просто я сталкивался с тем, что на FreeBSD (3.x - точнее версию не помню)
>>  была та-же проблема (я той машинкой не рулю я там пользователь, и
AK> проблема
>>  возникла не у меня, а у более других пользователей :)
>>
>> > Ну предположим, что так нельзя, а что же тогда делать, какую
>> > permission модель сделать? У меня уже идей нет.
>>
>>  Кажется это называется jail, или что-то в этом роде.
>>

AK> У меня FreeBSD 4.1-STABLE
AK> Босю, что jail сюда просто не пристроишь. Это suEXEC патчить надо, а если
AK> так,
AK> то лучше его сразу запатчить, чтобы он security со своей стороны приспустил.
AK> Я вообще
AK> не понимаю от куда эта проблема, это ведь естественное желание, чтобы
AK> пользователи
AK> виртуальных серверов не лезли друг к другу, неужели не у кого это не решено?

Желание НЕестественное, если подумать. То, что к чему имеет доступ apache
должны иметь досту все. Apache - НЕ является программой, которой можно на
100% доверять в смысле безопасности. А если ее взломают (а, еще раз повторяю,
Apache проектировался НЕ с рассчетом на невзламываемость, а вовсе даже наоборот:
с рассчетом на то, что его будут НЕПРЕРЫВНО взламывать - по крайней мере
локальные пользователи; удаленным сложнее - а он будет продолжать работать).
Соотвественно любое его использование должно эту особенность учитывать :-)

AK> Ведь
AK> это означает, что получив хостинг, скажем, в демосе, я спокой могу прочитать
AK> все чужие
AK> скрипты, спереть, может быть, очень дорогое ПО. Но я не думаю, что это так.
AK> Так как
AK> же эта проблема решается?

Очень просто. Если кому ДЕЙСТВИТЕЛЬНО нужно защитить свое "очень дорогое ПО"
даже от чтения, то он может заплатить дополнительно денег и ему организуют
отдельный сервер (за эти же деньки пямяти в машину добъют, если совсем много
заплатит - отдельный сервер поставят :-) Обычных пользователей через ssh не
пускают (еще чего не хватало :-), а через ftp (с помощью chroot) доступ - только
к себе в home. Все.



=============================================================================
=               Apache-Talk@xxxxxxxxxxxxx mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@xxxxxxxxxxxxx if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =



Спонсоры сайта:

[ Russian Apache ] [ Как это работает ] [ Рекомендации ] [ Где взять ] [ Как установить ] [ Как настроить ] [ Статус и поддержка ] [ Краткий обзор ] [ FAQ ] [ Список рассылки ] [ Благодарности ] [ Поиск по серверу ] [ Powered by Russian Apache ] [ Apache-talk archive ]

"Russian Apache" includes software developed by the Apache Group for use in the Apache HTTP server project (http://www.apache.org/) See Apache LICENSE.
Copyright (C) 1995-2001 The Apache Group. All rights reserved.
Copyright (C) 1996 Dm. Kryukov; Copyright (C) 1997-2009 Alex Tutubalin. Design (C) 1998 Max Smolev.