[LUGOS-PROG] PHP modul in pravice

[Metod Kozelj]

Howdy!

Anze wrote:

>Mogoce ni cisto prava mailing lista, ampak domnevam, da imajo programerji s 
>tem vec izkusenj kot administratorji... :)
>

Jaz mislim, da je zgornja domneva pretežno zgrešena, saj (dobri) 
administratorji skrbijo ravno za spodaj opisane 'težave'. In se ne 
vtikajo v same programe. In obratno, programerji delajo (dobre) programe 
in se ne obremenjujejo s tem, kdo jih bo smel poganjati in s kakšnimi 
pravicami.

>Na multi-hosted Linux strezniku bi rad zascitil uporabnike pred drugimi 
>uporabniki na sistemu. Ce imajo njihove PHP skripte pravice 0744, bodo lahko 
>drugi uporabniki na sistemu preko fopen+fread in podobnih funkcij v svojih 
>PHP skriptah prebrali izvorno kodo programa in seveda tudi nastavitve 
>(username/password) za dostop do baze, kar pomeni, da bodo lahko 
>brali/spreminjali/brisali podatke, ki jih ne bi smeli. Po drugi strani, ce 
>imajo skripte pravice 0740, niso vidne uporabniku www-data, apache oz. 
>nobody, kakorkoli se ze pac imenuje - kar pomeni, da so neuporabne. 
>
>Kako lahko resim ta problem?
>

Apacha poganjaj z nastavitvijo, da ima permissione kot specifični 
uporabnik iz specifične grupe. Recimo uporabnik 'apache' v grupi 
'apache'. ('User apache' in 'Group apache').

Uporabniki (=programerji) naj naredijo svoje PHP skripte in naj za 
njihov obstoj obvestijo administratorja (=tebe).

Ti skriptam spremeniš grupo in permissione takole:
# chgrp apache script.php; chmod 710 script.php

Na ta način bodo skripte berljive/pisljive/izvedljive za lastnika 
skripte (=programerja), izvedljive za vse v grupi apache (=web servis, 
saj drugih uporabnikovv tej grupi ne bo , ne ;) ) in nič od tega za vse 
ostale.

-- 
Peace!
  Mkx

---- perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'