"своя копия httpd"

[nashvill]

Ну это ясно, меня интересовал несколько другой факт: вот если юзер имеет доступ к httpd.conf, то он, соответственно может указать левый IP адрес (например, т.е. его апач будет слушать левый IP адрес по какому-нить 88 порту и через этот порт он будет раздавать варез, например, и трафик будет учитываться для клиента, кому выделен адрес, короче подстава). Что в таких случаях делать? И как по Вашему, стоит ли давать полный доступ к httpd.conf помимо самого демона на его запуск, перезапуск и остановку?

[adminWHT]

Сразу не отвечу, но решение файерволить их жестко, почему-то приходит на ум

[nashvill]

Ето. Не понял. Кого фаирволить то? Физически то машина одна

[dim-dim]

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Admin @ 23 Фев. 2002, 16:42)</td></tr><tr><td id="QUOTE">Cвоя копия httpd - реализуется, если хостить по IP, а не по name-based, и jail никакой не нужен [/QUOTE]<span id='postcolor'>
Можно и name-based хостам давать свою копию httpd. Т.е. вешать копию httpd на какой-нибудь порт &gt; 1024 (это бэкенд получается) и перенаправлять с фронтенда, который на 80 порту висит, посетителей на соответствующий бэкенд через, например, mod-proxy.
И волки сыты, и IP адреса целы

[nashvill]

У меня нет проблемы с IP адресами, могу спокойно использовать несколько сеток класса C, только мне изначально интересовал как раз вопрос по httpd

У меня есть вот такие соображения:
если есть доступ к httpd.conf, тогда можно запускать апач от лица другого юзера, и путем не хитрых манипуляций получать доступ к закрытой информации. Тут сразу вопрос - можно ли так задать параметры запуска httpd, чтобы например пользователя, IP адрес и еще пару параметров изменить было нельзя. Либо использовать какой-нить небольшой конфиг, где будут указаны все параметры, которые нельзя будет в своем личном конфиге передефайнить...

[dim-dim]

ИМХО, нельзя. Если только не давать юзеру напрямую редактировать конфиги, а сделать ему веб-интерфейс, через который он будет править конфиги.

А что, например, мешает юзеру, имеющему доступ к шелл, скомпилить свой Апач, запустить его под своим именем и подцепиться к какому-нибудь порту &gt; 1024?

[nashvill]

Для начала я не собираюсь давать ssh доступ, хотя многим он необходим. Что тогда делать в таких случаях?
Я думаю сделаю следующим образом:

будет специальный маленький конфиг, где будет указан IP и user &amp; group для апача, а все остальное будет в конфиге юзера, который он может править как ему захочется. вот.

[dim-dim]

Не получится. Юзер сможет переопределять директивы.
Например, ты создаешь httpd.conf, где определяешь user и group и по include в него вставляешь конфиг, который юзер сможет править:
httpd.conf:

User www
Group www
include &quot;/path/to/user.httpd.conf&quot;

Если юзер припишет в своем user.httpd.conf директивы
User nobody
Group nogroup

то Апач будет стартовать именно от nobody, а не от www.

P.S.: Только что проверил. Нужно include &quot;user.conf&quot; вписывать в самом начале, то определения директив, которые юзер править не должен. Тогда все получится

[adminWHT]

SSH давать - порочная практика (imho). Зачем он реально нужен? Компилить - на своей машине please, пароли ставить - web-интерфейс.

Зато не будут wget-ом сотни мегов скачивать из заграницы.

[nashvill]

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (dim-dim @ 24 Фев. 2002, 14:42)</td></tr><tr><td id="QUOTE">Не получится. Юзер сможет переопределять директивы.
Например, ты создаешь httpd.conf, где определяешь user и group и по include в него вставляешь конфиг, который юзер сможет править:
httpd.conf:

User www
Group www
include &quot;/path/to/user.httpd.conf&quot;

Если юзер припишет в своем user.httpd.conf директивы
User nobody
Group nogroup

то Апач будет стартовать именно от nobody, а не от www.

P.S.: Только что проверил. Нужно include &quot;user.conf&quot; вписывать в самом начале, то определения директив, которые юзер править не должен. Тогда все получится
[/QUOTE]<span id='postcolor'>
Чтобы юзер не переопределил директивы, их можно задавать после конфига юзера...
Ну или еще вроде в апаче есть функция переопределения директив после обработки всех конфигов, я еще толком не разобрался в этом, надо будет посмотреть внимательнее..