Есть группа файлов, создаваемих скриптом запускаемым с Браузера.

На старом сервере, файлы всегда получались под apache.apache.

Арендовал новый, с теми же стандартными делами RH9/ Apache.

Смотрю - теперь эти же файлы создаются под юзером , которым я работаю по SSH.

Т.е. кнопку в HTMLе нажимаю, скрип запускается и файл создается не под апачи юзером, а под обычным - будто бы

я этот скрипт по SSH клиенту запустил.

Подскажите нет ли тут какого security риска ?

Где определяется каким юзером считается запрос с Браузера ?

Директорий под апачи был, пришлось сделать chmod o+w ....

Спасибо.

security риск как раз был на старом сервере. Фактически любой юзер имеющий хостинг на этом сервере может делать с чужими файлами все что ему нравится. За такую модель безопасности надо руки отрывать.

А это правильная модель безопасности

Это зависит не от броузера, а от настроек вэб-сервера. При нормальной настройке каждый вэб-сайт должен запускаться из под его владельца. Для Апача в настройках VirtualHosta прописываются директивы


Хреновая идея. Нужно было поменять владельца файлов на того, из под кого у тебя сайт работает.

Спасибо за ответ.



Старый сервер - мой личный с "приходящим" админом, там других юзеров не было слава богу.

А второй - "Virtual Private Server" - все как на настоящем (httpd.conf, etc.) , но как я понимаю вышестоящие конфиги есть.

В моем httpd.conf (для Virtual Private Server) стоит

User apache
Group apache

А файлы создаются под vasya.

Это потому что "вышестоящие конфиги" policy определяют ?

Это сообщение отредактировал(а) serge001 - 1.3.2006, 19:10

Директивы User и Group влияют на тот виртуал хост внутри которого они прописаны. Например

При такой конфигурации нужно владельцем директории /home/vasya/vasya.com сделать васю
chown -R vasya:vasya /home/vasya/vasya.com

Все CGI-скрипты будут запускаться из под юзера vasya и процесс Апача который будет работать с сайтом vasya.com будет иметь привелегии юзера vasya. Соотвественно будет иметь доступ к файлам, к которым имеет доступ юзер vasya.

Это получается, что на сервере будет куча пользователей?
Один сайт — один пользователь?

А как ты думаешь хостинги работают? Под каждый сайт новый сервер ставят? Мало того, у всех сайтов может быть один и тотже IP адрес.

Интересно, а как тогда отличают на какой сайт идёт коннект?
Я просто в этом вопросе мало шарю.

По http-заголовкам. Когда ты в броузере пишешь название сайта, броузер включает это название в заголовок http-запроса. Доменное имя сайта связано с IP-адресом вэб-сервера. Получив такой запрос веб-сервер перенаправит его тому виртуал хосту, имя которого прописано в заголовке http-запроса.

Точно, я совсем забыл про заголовки.
Спасибо за разъяснения