[LUGOS-PROG] PHP modul in pravice
Metod Kozelj
metod.kozelj at lugos.si
Tue May 27 10:45:37 CEST 2003
Howdy!
Anze wrote:
>Mogoce ni cisto prava mailing lista, ampak domnevam, da imajo programerji s
>tem vec izkusenj kot administratorji... :)
>
Jaz mislim, da je zgornja domneva pretežno zgrešena, saj (dobri)
administratorji skrbijo ravno za spodaj opisane 'težave'. In se ne
vtikajo v same programe. In obratno, programerji delajo (dobre) programe
in se ne obremenjujejo s tem, kdo jih bo smel poganjati in s kakšnimi
pravicami.
>Na multi-hosted Linux strezniku bi rad zascitil uporabnike pred drugimi
>uporabniki na sistemu. Ce imajo njihove PHP skripte pravice 0744, bodo lahko
>drugi uporabniki na sistemu preko fopen+fread in podobnih funkcij v svojih
>PHP skriptah prebrali izvorno kodo programa in seveda tudi nastavitve
>(username/password) za dostop do baze, kar pomeni, da bodo lahko
>brali/spreminjali/brisali podatke, ki jih ne bi smeli. Po drugi strani, ce
>imajo skripte pravice 0740, niso vidne uporabniku www-data, apache oz.
>nobody, kakorkoli se ze pac imenuje - kar pomeni, da so neuporabne.
>
>Kako lahko resim ta problem?
>
Apacha poganjaj z nastavitvijo, da ima permissione kot specifični
uporabnik iz specifične grupe. Recimo uporabnik 'apache' v grupi
'apache'. ('User apache' in 'Group apache').
Uporabniki (=programerji) naj naredijo svoje PHP skripte in naj za
njihov obstoj obvestijo administratorja (=tebe).
Ti skriptam spremeniš grupo in permissione takole:
# chgrp apache script.php; chmod 710 script.php
Na ta način bodo skripte berljive/pisljive/izvedljive za lastnika
skripte (=programerja), izvedljive za vse v grupi apache (=web servis,
saj drugih uporabnikovv tej grupi ne bo , ne ;) ) in nič od tega za vse
ostale.
--
Peace!
Mkx
---- perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'
More information about the lugos-prog
mailing list