Версия для печати темы Нажмите сюда для просмотра этой темы в оригинальном формате

Форум программистов > Администрирование Web серверов и Web служб > Вопрос о security в Apaчи

Автор: serge001 1.3.2006, 03:38

Есть группа файлов, создаваемих скриптом запускаемым с Браузера. На старом сервере, файлы всегда получались под apache.apache. Арендовал новый, с теми же стандартными делами RH9/ Apache. Смотрю - теперь эти же файлы создаются под юзером , которым я работаю по SSH. Т.е. кнопку в HTMLе нажимаю, скрип запускается и файл создается не под апачи юзером, а под обычным - будто бы я этот скрипт по SSH клиенту запустил. Подскажите нет ли тут какого security риска ? Где определяется каким юзером считается запрос с Браузера ? Директорий под апачи был, пришлось сделать chmod o+w .... Спасибо.

Автор: Sun 1.3.2006, 11:30

Цитата(serge001 @ 1.3.2006, 00:38 ) На старом сервере, файлы всегда получались под apache.apache. Цитата(serge001 @ 1.3.2006, 00:38 ) Подскажите нет ли тут какого security риска ? security риск как раз был на старом сервере. Фактически любой юзер имеющий хостинг на этом сервере может делать с чужими файлами все что ему нравится. За такую модель безопасности надо руки отрывать. Цитата(serge001 @ 1.3.2006, 00:38 ) Арендовал новый, с теми же стандартными делами RH9/ Apache. Смотрю - теперь эти же файлы создаются под юзером , которым я работаю по SSH. А это правильная модель безопасности Цитата(serge001 @ 1.3.2006, 00:38 ) Где определяется каким юзером считается запрос с Браузера ? Это зависит не от броузера, а от настроек вэб-сервера. При нормальной настройке каждый вэб-сайт должен запускаться из под его владельца. Для Апача в настройках VirtualHosta прописываются директивы Код User         vasya Group         vasya Цитата(serge001 @ 1.3.2006, 00:38 ) Директорий под апачи был, пришлось сделать chmod o+w .... Хреновая идея. Нужно было поменять владельца файлов на того, из под кого у тебя сайт работает.

Автор: serge001 1.3.2006, 19:09

Спасибо за ответ. Цитата Цитата(serge001 @ 1.3.2006, 00:38 ) На старом сервере, файлы всегда получались под apache.apache. Цитата(serge001 @ 1.3.2006, 00:38 ) Подскажите нет ли тут какого security риска ? security риск как раз был на старом сервере. Фактически любой юзер имеющий хостинг на этом сервере может делать с чужими файлами все что ему нравится. За такую модель безопасности надо руки отрывать. Старый сервер - мой личный с "приходящим" админом, там других юзеров не было слава богу. А второй - "Virtual Private Server" - все как на настоящем (httpd.conf, etc.) , но как я понимаю вышестоящие конфиги есть. В моем httpd.conf (для Virtual Private Server) стоит User apache Group apache А файлы создаются под vasya. Это потому что "вышестоящие конфиги" policy определяют ?

Автор: Sun 1.3.2006, 19:43

Цитата(serge001 @ 1.3.2006, 16:09 ) Это потому что "вышестоящие конфиги" policy определяют ? Директивы User и Group влияют на тот виртуал хост внутри которого они прописаны. Например Код <VirtualHost 192.168.1.1:80> ServerName vasya.com DocumentRoot  /home/vasya/vasya.com User vasya Group vasya </VirtualHost> При такой конфигурации нужно владельцем директории /home/vasya/vasya.com сделать васю chown -R vasya:vasya /home/vasya/vasya.com Все CGI-скрипты будут запускаться из под юзера vasya и процесс Апача который будет работать с сайтом vasya.com будет иметь привелегии юзера vasya. Соотвественно будет иметь доступ к файлам, к которым имеет доступ юзер vasya.

Автор: Ciber SLasH 2.3.2006, 01:33

Это получается, что на сервере будет куча пользователей? Один сайт — один пользователь?

Автор: Sun 2.3.2006, 11:24

Цитата(Ciber SLasH @ 1.3.2006, 22:33) Это получается, что на сервере будет куча пользователей? Один сайт — один пользователь? А как ты думаешь хостинги работают? Под каждый сайт новый сервер ставят? Мало того, у всех сайтов может быть один и тотже IP адрес.

Автор: Ciber SLasH 2.3.2006, 15:16

Цитата(Sun @ 2.3.2006, 11:24 ) Мало того, у всех сайтов может быть один и тотже IP адрес Интересно, а как тогда отличают на какой сайт идёт коннект? Я просто в этом вопросе мало шарю.

Автор: Sun 2.3.2006, 15:41

Цитата(Ciber SLasH @ 2.3.2006, 12:16 ) Интересно, а как тогда отличают на какой сайт идёт коннект? По http-заголовкам. Когда ты в броузере пишешь название сайта, броузер включает это название в заголовок http-запроса. Доменное имя сайта связано с IP-адресом вэб-сервера. Получив такой запрос веб-сервер перенаправит его тому виртуал хосту, имя которого прописано в заголовке http-запроса.

Автор: Ciber SLasH 2.3.2006, 16:54

Цитата(Sun @ 2.3.2006, 15:41 ) По http-заголовкам. Точно, я совсем забыл про заголовки. Спасибо за разъяснения

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)