WebHostingTalk.ru  

Вернуться   WebHostingTalk.ru > Главные форумы > Технические аспекты и вопросы безопасности

Ответ
 
Опции темы
  #41  
Старый 03.06.2003, 13:36
Net.Ru Net.Ru вне форума
Дипломник
 
Регистрация: 23.08.2002
Сообщений: 24
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (Антон Нехороших @ 03 Февраля 2003, 14:14)]
Цитата:
Сообщение от Антон Нехороших
работает как часы
дыр необнаружено
Недавно вы закрыли для mysql LOAD LOCAL DATA INFILE, чтобы нельзя была читать файлы с правами веб-севера. А какие еще подобные дырки из других модулей пришлось закрывать?
Ответить с цитированием
  #42  
Старый 03.06.2003, 13:45
kim kim вне форума
Лаборант
 
Регистрация: 18.03.2003
Сообщений: 239
Отправить сообщение для kim с помощью ICQ
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (avik @ 29 Ноября 2002, 05:19)]Объясните, почему пхп так себя ведет:

Виртуальный хост запущен под определенным Юзером и Группой, т.е, не (apache.apache) или (nobody.nobody), ПХП работает в режиме SAFE MODE.


Я ожидаю, что когда в скрипте вызываю функцию - " mkdir ("testdir",0777); ",
будет создан каталог testdir , с правами Юзера и Группы, под которым запущен этот вирт-хост, и атрибутами 777.
Я прав ?

Дело в том, что пхп создает эту папку, но только с правами apache.apache, и атрибутами 755 вместо 777.
И создает, при условии, что верхняя по дереву папка имеет атрибуты 777. (Ну это понятно, так как получается пхп лезет в папку, как apache.apache, не являясь владельцем этой папки и не имеющим право писать в нее)

Я не пойму, почему в этой ситуации " mkdir ("testdir",0777); ", пхп работает под apache.apache !?
Поведение вполне объяснимо ... у пользователя, из под которого запущен PHP нет прав на изменение прав доступа к файлам ... (попробуйте из под пользователя UID которого >0 проделать chown относительно файла/каталога который не пренадлежит пользователю...)

Присоединяюсь к большенству - suexec спасет мир
Ответить с цитированием
  #43  
Старый 04.06.2003, 16:15
Антон Нехороших Антон Нехороших вне форума
Аспирант
 
Регистрация: 18.04.2002
Сообщений: 88
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (kim @ 03 Июня 2003, 14:45)]Присоединяюсь к большенству - suexec спасет мир
Чушь, suexec это реальаня потеря производительности на ненужныйх форках.
__________________
С уважением,
Антон Нехороших.
Ответить с цитированием
  #44  
Старый 04.06.2003, 17:32
kim kim вне форума
Лаборант
 
Регистрация: 18.03.2003
Сообщений: 239
Отправить сообщение для kim с помощью ICQ
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (Антон Нехороших @ 04 Июня 2003, 17:15)]Чушь, suexec это реальаня потеря производительности на ненужныйх форках.
не бросайтесь из крайности в крайность (между секюрити и производительности) - и suexec окажется посрединке

P.S. не замечал _большого_ увеличения нагрузки на сервер при использовании php как cgi ...
Ответить с цитированием
  #45  
Старый 05.06.2003, 16:33
dim-dim dim-dim вне форума
Лаборант
 
Регистрация: 22.02.2002
Сообщений: 245
По умолчанию

А что уважаемые доны дкмают об этом решении: http://php4you.kiev.ua/docs/dk/apache_hack.html

Вкратце:
"Решение заключается в том, чтобы держать воинов не под www, а под root, однако при каждом поступлении запроса делать fork() (разветвлять процесс на два), на одном конце которого ставить wait() (ожидание окончания потомка), а на другом - смену пользователя и обработку страницы, а потом выход по exit(0). Конечно, немного расточительно - лишний fork() на каждый запрос - однако далеко не так расточительно, как об этом обычно думают дилетанты (в том числе и я до проведения этой операции). Но ведь использование suexec подразумевает еще большие затраты! Так что давайте выберем из двух зол меньшее...."

Или это тоже самое, что и модуль mod_become?
Ответить с цитированием
  #46  
Старый 05.06.2003, 16:38
kim kim вне форума
Лаборант
 
Регистрация: 18.03.2003
Сообщений: 239
Отправить сообщение для kim с помощью ICQ
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] ]
Откуда Apache знает, кому принадлежит тот или иной скрипт? Ему говорят об этом директивы User и Group в блоке <VirtualHost> каждого хостинг-пользователя. В документации написано, что эти директивы были специально разработаны для совместного использования с suexec и без последнего "не имеют смысла".

Скрипты при таком подходе выполняются прекрасно - тут suexec берет власть в свои руки. Правда, возникают небольшие проблемы с накладными расходами, связанными с запуском нового процесса, но в большинстве случаев они очень незначитальны. В то же время, ситуация с PHP, работающим как модуль Apache, просто безвыходная: для него, очевидно, suexec работать не будет (впрочем, как и для простой статической страницы), а значит, PHP-скрипты будут запускаться под www:www, что, конечно же, приведет (и приводит) к их неработоспособности.
...

не вижу причин для концептуального спора ...
Ответить с цитированием
  #47  
Старый 05.06.2003, 16:40
dim-dim dim-dim вне форума
Лаборант
 
Регистрация: 22.02.2002
Сообщений: 245
По умолчанию

Я спрашиваю мнение, а не предлагаю спорить.....
Ответить с цитированием
  #48  
Старый 05.06.2003, 16:49
kim kim вне форума
Лаборант
 
Регистрация: 18.03.2003
Сообщений: 239
Отправить сообщение для kim с помощью ICQ
По умолчанию

Можно сказать ДА...

P.S. но душа лежит в сторону apache 2 (где проблема эта уже решена)...
P.P.S. больше доверяю разработчикам apache а не сторонним ... но это субъективно
Ответить с цитированием
  #49  
Старый 05.06.2003, 19:21
Nest Nest вне форума
Дипломник
 
Регистрация: 15.06.2002
Сообщений: 36
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (dim-dim @ 05 Июня 2003, 17:33)]А что уважаемые доны дкмают об этом решении: http://php4you.kiev.ua/docs/dk/apache_hack.html
Когда - то пробовал. В продакшн решение так и не пошло, в частности в связи с тем, что начинает дико глючить кэширование коннектов к mysql (mysql_pconnect), да и небезопастно это (вкратце - shm, унаследованные файловые дескрипторы и т.д. и т.п.).

P.S.: Меня в таких обсуждениях смущает один-единственный вопрос: неужели никто не использует запуск отдельного апача для каждого из пользователей? Непосредственно под его (пользователя) правами, не из-под рута.
Ответить с цитированием
  #50  
Старый 05.06.2003, 19:59
kim kim вне форума
Лаборант
 
Регистрация: 18.03.2003
Сообщений: 239
Отправить сообщение для kim с помощью ICQ
По умолчанию

можно запускать каждому пользователю свой apache ...
но это более ресурсоемко ...

P.S. мое мнение: ето не выход ...
Ответить с цитированием
Ответ


Ваши права в разделе
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Хамское поведение АГАВЫ любознательный Мусор 43 01.11.2010 13:01


Часовой пояс GMT +3, время: 22:54.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot