[LUGOS-PROG] PHP modul in pravice
Boris Sagadin
Boris.Sagadin at uni-mb.si
Tue May 27 11:25:00 CEST 2003
Odgovori spodaj.
----- Original Message -----
From: "Metod Kozelj" <metod.kozelj at lugos.si>
To: <lugos-prog at lugos.si>
Sent: Tuesday, May 27, 2003 10:45 AM
Subject: Re: [LUGOS-PROG] PHP modul in pravice
<snip>
> Uporabniki (=programerji) naj naredijo svoje PHP skripte in naj za
> njihov obstoj obvestijo administratorja (=tebe).
Nočna mora za admina :)
> Ti skriptam spremeniš grupo in permissione takole:
> # chgrp apache script.php; chmod 710 script.php
Mislim, da apache potrebuje +r na php datotekah, saj jih bere in
interpretira in ne zaganja direktno, torej v tem primeru dovoljenja 740.
> Na ta način bodo skripte berljive/pisljive/izvedljive za lastnika
> skripte (=programerja), izvedljive za vse v grupi apache (=web servis,
> saj drugih uporabnikovv tej grupi ne bo , ne ;) ) in nič od tega za vse
> ostale.
Pazit je potrebno tudi, da php teče v načinu safe_mode, saj drugače vsak
uporabnik lahko napiše svojo skripto, ki bo z uporabo klicev system();
passthru() ipd. po mili volji lahko počela karkoli s pravicami uporabnika,
pod katerim teče Apache, npr. brala vse datoteke, do katerih ima dostop
Apache. Torej v primeru da safe_mode ni vklopljen nismo storili nič. Lahko
pa se pozabava s kakšnimi ACLs, ampak bo potrebno patchat kernel.
lp,
B.
More information about the lugos-prog
mailing list