Plesk и suexec

[avik]

Есть плеск 2.0 с путями
/usr/local/psa/home/vhosts/домены.юзеров

Подскажите, как ограничить доступ для вирт-хостов,
с хоста на хост?
Чтоб нельзя было скриптом(например перл) прочитать скрипты и все остальное на чужом вирт-хосте.
Ато при стандартной конфигурации читается все на раз!

Вроде нужно чтото с suexec делать, а у меня инфы по этому зверю нету, а начинать с английской сложновато.

Если не сложно и не много, объясните что это за зверь(suexec) и как с ним работать?

[ptitov]

По ./configure --help в апаче узнать о том, как настроить SuEXEC можно достаточно.

Когда он будет настроен - права на скрипты 700.

[avik]

я все проверил. suexec применяется. для каждого в-хоста
сервер запускается под хостовым именем и psacln группой.
Я пока запретил группе любой доступ т.е. 705 на
cgi-bin. вроде все работает. но является ли это правильным
и оптимальным методом? Ничем это не грозит?
Предложение атрибуты 700 на файлы тоже работает,
но это на каждый файл нужно ставить, а хотелось более централизовано.

[ptitov]

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (avik @ 08 Июл. 2002, 03:59)</td></tr><tr><td id="QUOTE">я все проверил. suexec применяется. для каждого в-хоста
сервер запускается под хостовым именем и psacln группой.
Я пока запретил группе любой доступ т.е. 705 на
cgi-bin. вроде все работает. но является ли это правильным
и оптимальным методом? Ничем это не грозит?[/QUOTE]<span id='postcolor'>
К слову, цифра &quot;5&quot; в конце означает доступ на чтение для всех.
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">
Предложение атрибуты 700 на файлы тоже работает,
но это на каждый файл нужно ставить, а хотелось более централизовано.
[/QUOTE]<span id='postcolor'>
Перепишите Unix

[avik]

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">К слову, цифра &quot;5&quot; в конце означает доступ на чтение для всех.[/QUOTE]<span id='postcolor'>

Так вот какраз все и работает. Группу не пускает , а остальных пожалуйста. Так, как все клиенты принадлежат группе &quot;psacln&quot; - их и не пускает ни телнетом ни церез ЦГИ. Я проверял это. Но чтобы быть уверенным что способ надежный, спросил здесь.

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">Перепишите Unix [/QUOTE]<span id='postcolor'>
Наверное до меня ктото уже переписал мой линукс

[dim-dim]

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">К слову, цифра &quot;5&quot; в конце означает доступ на чтение для всех[/QUOTE]<span id='postcolor'>
Нет, не для &quot;всех&quot;, а для &quot;других&quot;, т.е. для тех, кто не &quot;owner&quot; и не входит в эту самую группу.

[ptitov]

В FreeBSD Handbook на слово &quot;else&quot; в словосочентании &quot;for everyone else&quot; внимания не обратил, сорри, действительно так.

[Антон Нехороших]

Делается это примено так
1. кладем патчик на suiddir
2. врубаем под фрей suiddir
3. апача пускается под nobody:apache
4. папки юзеровые 4770
5. файлы юзеровые 4660
6. овнер папок и файлов user:apache
7. user сидит в группе скажем hosting

в резалте получаем апача видит все чего ей надо, так как файлы доступны для этой группы, юзер видит только свои фалы так как не входит в группу апачи, разумеется suexec должен быть включен и на него тоже патчик нужен.
если покапаете сырцы php, то поймете как врубить работу mod_php под юзером

ну это так в краце