avik
Новичок

Сообщений: 34
|
 |
« : 07 ёоЫм 2002, 05:46:06 » |
|
Есть плеск 2.0 с путями /usr/local/psa/home/vhosts/домены.юзеров
Подскажите, как ограничить доступ для вирт-хостов, с хоста на хост? Чтоб нельзя было скриптом(например перл) прочитать скрипты и все остальное на чужом вирт-хосте. Ато при стандартной конфигурации читается все на раз!
Вроде нужно чтото с suexec делать, а у меня инфы по этому зверю нету, а начинать с английской сложновато.
Если не сложно и не много, объясните что это за зверь(suexec) и как с ним работать? webhostingtalk.ru/iB_html/non-cgi/emoticons/confused.gif
|
|
|
Записан
|
|
|
|
ptitov
Новичок

Сообщений: 588
|
 |
« Ответ #1 : 07 ёоЫм 2002, 10:56:58 » |
|
По ./configure --help в апаче узнать о том, как настроить SuEXEC можно достаточно.
Когда он будет настроен - права на скрипты 700.
|
|
|
Записан
|
|
|
|
avik
Новичок

Сообщений: 34
|
 |
« Ответ #2 : 08 ёоЫм 2002, 02:59:16 » |
|
я все проверил. suexec применяется. для каждого в-хоста сервер запускается под хостовым именем и psacln группой. Я пока запретил группе любой доступ т.е. 705 на cgi-bin. вроде все работает. но является ли это правильным и оптимальным методом? Ничем это не грозит? Предложение атрибуты 700 на файлы тоже работает, но это на каждый файл нужно ставить, а хотелось более централизовано.
|
|
|
Записан
|
|
|
|
ptitov
Новичок

Сообщений: 588
|
 |
« Ответ #3 : 08 ёоЫм 2002, 11:05:49 » |
|
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (avik @ 08 Июл. 2002, 03:59)</td></tr><tr><td id="QUOTE">я все проверил. suexec применяется. для каждого в-хоста сервер запускается под хостовым именем и psacln группой. Я пока запретил группе любой доступ т.е. 705 на cgi-bin. вроде все работает. но является ли это правильным и оптимальным методом? Ничем это не грозит?[/QUOTE]<span id='postcolor'> К слову, цифра "5" в конце означает доступ на чтение для всех. </span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE"> Предложение атрибуты 700 на файлы тоже работает, но это на каждый файл нужно ставить, а хотелось более централизовано. [/QUOTE]<span id='postcolor'> Перепишите Unix webhostingtalk.ru/iB_html/non-cgi/emoticons/sneaky2.gif
|
|
|
Записан
|
|
|
|
avik
Новичок

Сообщений: 34
|
 |
« Ответ #4 : 08 ёоЫм 2002, 12:03:10 » |
|
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">К слову, цифра "5" в конце означает доступ на чтение для всех.[/QUOTE]<span id='postcolor'>
Так вот какраз все и работает. Группу не пускает , а остальных пожалуйста. Так, как все клиенты принадлежат группе "psacln" - их и не пускает ни телнетом ни церез ЦГИ. Я проверял это. Но чтобы быть уверенным что способ надежный, спросил здесь.
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">Перепишите Unix [/QUOTE]<span id='postcolor'> Наверное до меня ктото уже переписал мой линукс webhostingtalk.ru/iB_html/non-cgi/emoticons/sneaky2.gif
|
|
|
Записан
|
|
|
|
dim-dim
Новичок

Сообщений: 232
|
 |
« Ответ #5 : 08 ёоЫм 2002, 12:09:57 » |
|
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">К слову, цифра "5" в конце означает доступ на чтение для всех[/QUOTE]<span id='postcolor'> Нет, не для "всех", а для "других", т.е. для тех, кто не "owner" и не входит в эту самую группу.
|
|
|
Записан
|
|
|
|
ptitov
Новичок

Сообщений: 588
|
 |
« Ответ #6 : 08 ёоЫм 2002, 12:54:31 » |
|
В FreeBSD Handbook на слово "else" в словосочентании "for everyone else" внимания не обратил, сорри, действительно так.
|
|
|
Записан
|
|
|
|
Антон Нехороших
Новичок

Сообщений: 88
|
 |
« Ответ #7 : 11 ёоЫм 2002, 13:01:42 » |
|
Делается это примено так webhostingtalk.ru/iB_html/non-cgi/emoticons/smile.gif 1. кладем патчик на suiddir 2. врубаем под фрей suiddir 3. апача пускается под nobody:apache 4. папки юзеровые 4770 5. файлы юзеровые 4660 6. овнер папок и файлов user:apache 7. user сидит в группе скажем hosting
в резалте получаем апача видит все чего ей надо, так как файлы *доступны для этой группы, юзер видит только свои фалы так как не входит в группу апачи, разумеется suexec должен быть включен и на него тоже патчик нужен. если покапаете сырцы php, то поймете как врубить работу mod_php под юзером webhostingtalk.ru/iB_html/non-cgi/emoticons/smile.gif
ну это так в краце webhostingtalk.ru/iB_html/non-cgi/emoticons/smile.gif
|
|
|
Записан
|
|
|
|
|