WebHostingTalk.ru  

Вернуться   WebHostingTalk.ru > Главные форумы > Форум по Web-хостингу

Ответ
 
Опции темы
  #11  
Старый 23.02.2002, 21:12
nashvill nashvill вне форума
Дипломник
 
Регистрация: 20.02.2002
Сообщений: 29
Отправить сообщение для nashvill с помощью ICQ
По умолчанию

Ну это ясно, меня интересовал несколько другой факт: вот если юзер имеет доступ к httpd.conf, то он, соответственно может указать левый IP адрес (например, т.е. его апач будет слушать левый IP адрес по какому-нить 88 порту и через этот порт он будет раздавать варез, например, и трафик будет учитываться для клиента, кому выделен адрес, короче подстава). Что в таких случаях делать? И как по Вашему, стоит ли давать полный доступ к httpd.conf помимо самого демона на его запуск, перезапуск и остановку?
Ответить с цитированием
  #12  
Старый 23.02.2002, 21:34
adminWHT adminWHT вне форума
Заблокирован
 
Регистрация: 03.01.2002
Сообщений: 1,036
По умолчанию

Сразу не отвечу, но решение файерволить их жестко, почему-то приходит на ум
Ответить с цитированием
  #13  
Старый 23.02.2002, 22:50
nashvill nashvill вне форума
Дипломник
 
Регистрация: 20.02.2002
Сообщений: 29
Отправить сообщение для nashvill с помощью ICQ
По умолчанию

Ето. Не понял. Кого фаирволить то? Физически то машина одна
Ответить с цитированием
  #14  
Старый 24.02.2002, 00:38
dim-dim dim-dim вне форума
Лаборант
 
Регистрация: 22.02.2002
Сообщений: 245
По умолчанию

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Admin @ 23 Фев. 2002, 16:42)</td></tr><tr><td id="QUOTE">Cвоя копия httpd - реализуется, если хостить по IP, а не по name-based, и jail никакой не нужен [/QUOTE]<span id='postcolor'>
Можно и name-based хостам давать свою копию httpd. Т.е. вешать копию httpd на какой-нибудь порт &gt; 1024 (это бэкенд получается) и перенаправлять с фронтенда, который на 80 порту висит, посетителей на соответствующий бэкенд через, например, mod-proxy.
И волки сыты, и IP адреса целы
Ответить с цитированием
  #15  
Старый 24.02.2002, 12:55
nashvill nashvill вне форума
Дипломник
 
Регистрация: 20.02.2002
Сообщений: 29
Отправить сообщение для nashvill с помощью ICQ
По умолчанию

У меня нет проблемы с IP адресами, могу спокойно использовать несколько сеток класса C, только мне изначально интересовал как раз вопрос по httpd

У меня есть вот такие соображения:
если есть доступ к httpd.conf, тогда можно запускать апач от лица другого юзера, и путем не хитрых манипуляций получать доступ к закрытой информации. Тут сразу вопрос - можно ли так задать параметры запуска httpd, чтобы например пользователя, IP адрес и еще пару параметров изменить было нельзя. Либо использовать какой-нить небольшой конфиг, где будут указаны все параметры, которые нельзя будет в своем личном конфиге передефайнить...
Ответить с цитированием
  #16  
Старый 24.02.2002, 13:33
dim-dim dim-dim вне форума
Лаборант
 
Регистрация: 22.02.2002
Сообщений: 245
По умолчанию

ИМХО, нельзя. Если только не давать юзеру напрямую редактировать конфиги, а сделать ему веб-интерфейс, через который он будет править конфиги.

А что, например, мешает юзеру, имеющему доступ к шелл, скомпилить свой Апач, запустить его под своим именем и подцепиться к какому-нибудь порту &gt; 1024?
Ответить с цитированием
  #17  
Старый 24.02.2002, 14:03
nashvill nashvill вне форума
Дипломник
 
Регистрация: 20.02.2002
Сообщений: 29
Отправить сообщение для nashvill с помощью ICQ
По умолчанию

Для начала я не собираюсь давать ssh доступ, хотя многим он необходим. Что тогда делать в таких случаях?
Я думаю сделаю следующим образом:

будет специальный маленький конфиг, где будет указан IP и user &amp; group для апача, а все остальное будет в конфиге юзера, который он может править как ему захочется. вот.
Ответить с цитированием
  #18  
Старый 24.02.2002, 14:42
dim-dim dim-dim вне форума
Лаборант
 
Регистрация: 22.02.2002
Сообщений: 245
По умолчанию

Не получится. Юзер сможет переопределять директивы.
Например, ты создаешь httpd.conf, где определяешь user и group и по include в него вставляешь конфиг, который юзер сможет править:
httpd.conf:

User www
Group www
include &quot;/path/to/user.httpd.conf&quot;

Если юзер припишет в своем user.httpd.conf директивы
User nobody
Group nogroup

то Апач будет стартовать именно от nobody, а не от www.

P.S.: Только что проверил. Нужно include &quot;user.conf&quot; вписывать в самом начале, то определения директив, которые юзер править не должен. Тогда все получится
Ответить с цитированием
  #19  
Старый 24.02.2002, 14:45
adminWHT adminWHT вне форума
Заблокирован
 
Регистрация: 03.01.2002
Сообщений: 1,036
По умолчанию

SSH давать - порочная практика (imho). Зачем он реально нужен? Компилить - на своей машине please, пароли ставить - web-интерфейс.

Зато не будут wget-ом сотни мегов скачивать из заграницы.
Ответить с цитированием
  #20  
Старый 24.02.2002, 16:24
nashvill nashvill вне форума
Дипломник
 
Регистрация: 20.02.2002
Сообщений: 29
Отправить сообщение для nashvill с помощью ICQ
По умолчанию

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (dim-dim @ 24 Фев. 2002, 14:42)</td></tr><tr><td id="QUOTE">Не получится. Юзер сможет переопределять директивы.
Например, ты создаешь httpd.conf, где определяешь user и group и по include в него вставляешь конфиг, который юзер сможет править:
httpd.conf:

User www
Group www
include &quot;/path/to/user.httpd.conf&quot;

Если юзер припишет в своем user.httpd.conf директивы
User nobody
Group nogroup

то Апач будет стартовать именно от nobody, а не от www.

P.S.: Только что проверил. Нужно include &quot;user.conf&quot; вписывать в самом начале, то определения директив, которые юзер править не должен. Тогда все получится
[/QUOTE]<span id='postcolor'>
Чтобы юзер не переопределил директивы, их можно задавать после конфига юзера...
Ну или еще вроде в апаче есть функция переопределения директив после обработки всех конфигов, я еще толком не разобрался в этом, надо будет посмотреть внимательнее..
Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
"WebHost" Отличный Хостинг - всем советую! 1$=1Gb места Islamchik Специальные предложения от провайдеров 1 12.01.2012 18:04
Если всех "воспитывать " , то и меня можно. Оцените труд. sanick Daikin Дизайн и верстка сайтов 4 02.05.2008 16:59
Хостинг "Джино" устроил "Раздачу Mp3-плееров" Jino.ru Специальные предложения от провайдеров 0 10.10.2007 18:04
открыта вакансия "специалист службы поддержки Unix-хостинга" Наиль Работа у провайдеров 0 20.08.2007 15:59
Это глюк или нет? "Макс. число присутствующих"... Host-Provider.Ru Замечания и предложения 5 28.06.2002 15:45


Часовой пояс GMT +3, время: 18:04.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot