phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] php/mysql oeffentlich anbieten

Dave Kliczbor dave.k_(at)_gmx.de
Tue, 28 Dec 1999 14:10:40 +0100

Previous message: [php] php/mysql oeffentlich anbieten
Next message: [php] Buch - PHP-Loesungen und Grundlagen
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Markus Dobel wrote:
> > am besten wäre natürlich ein "virtual root" für jeden user, ausgehend
> > von seinem home-dir (d.h. beim einloggen per telnet landet der user im
> > seinem home, das er aber selbst als "/" sieht - d.h. er kann nicht auf
> > übergeordnete oder gleichgestellte dir's zugreifen).
> 
> kann ich so nicht machen, da die shell-accounts dann nicht mehr
> funktionieren wuerden.

hmm.
auf einem webspace-account bei strato (*grummel* mist strato) klappt
das (ist allerdings SunOS).
Ich kann per telnet wirklich NUR auf mein home zugreifen und hab sehr
eingeschränkte Befehle zur Verfügung.
Was muss der User denn können/dürfen auf seinem Shell-Account?

> > ... Ich _glaube_ aber (wer's weiss: bitte
> > bestätigen oder abstreiten), dass man im <VirtualHost>-Bereich der
> > httpd.conf mit den Direktiven "User" und "Group" Apache dazu
> > veranlassen kann, uid/gid angepasst zu wechseln. Kann natürlich nur
> > klappen, wenn du pro user einen VirtualHost eingerichtet hast (und
> > wenn Apache das unterstützt :).
> 
> das waere mir neu. afaik sind die User und Group-Direktiven nicht in
> unterbereichen moeglich sondern gelten global. aber ich mach mich da
> nochma schlau. DAS waere natuerlich die loesung. aber ich kanns mir
> nicht so recht vorstellen, da der apache sich als nobody forkt und
> bestimmt nicht von da aus nochma auf ne andere id wexelt, je nach
> verzeichnis/location/sonstwas.

Apache-Doku (1.3.9), Direktive "User": manual/mod/core.html#user
Special note: Use of this directive in <VirtualHost> requires a
properly configured suEXEC wrapper. When used inside a <VirtualHost>
in this manner, only the user that CGIs are run as is affected.
Non-CGI requests are still processed with the user specified in the
main User directive.

Apache-Doku (1.3.9), "suEXEC": manual/suexec.html
What is suEXEC?
The suEXEC feature -- introduced in Apache 1.2 -- provides Apache
users the ability to run CGI and SSI programs under user IDs different
from the user ID of the calling web-server. Normally, when a CGI or
SSI program executes, it runs as the same user who is running the web
server. 
Used properly, this feature can reduce considerably the security risks
involved with allowing users to develop and run private CGI or SSI
programs. However, if suEXEC is improperly configured, it can cause
any number of problems and possibly create new holes in your
computer's security. If you aren't familiar with managing setuid root
programs and the security issues they present, we highly recommend
that you not consider using suEXEC. 

So _könnte_ es eigentlich klappen...
Ich schätze einfach mal, dass auch php-scripts unter "CGI and SSI"
fallen.

cu
 Dave

Previous message: [php] php/mysql oeffentlich anbieten
Next message: [php] Buch - PHP-Loesungen und Grundlagen
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive