php - separacja uprawnien

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

zlywilk
Użytkownik
Posty: 2
Rejestracja: 2009-05-10, 17:33

php - separacja uprawnien

Post autor: zlywilk » 2009-05-10, 17:46

W zwykłej instalacji apache+php aplikacje wszystkich użytkowników działają z uprawnieniami apache. Co oznacza, że mogą grzebać nawzajem w swoich plikach. Czy można jakoś temu przeciwdziałać bez użycia mechanizmów typu suphp? Jak to z reguły rozwiązują dostawcy hostingów współdzielonych?

Mam maszynę na której nie bardzo mogę sobie pozwolić na php zainstalowane jako cgi. Przydałaby mi się podpowiedź bo nie wiem nawet w którą stronę szukać.

Awatar użytkownika
Spaulding
Użytkownik
Posty: 564
Rejestracja: 2005-07-17, 14:59
Lokalizacja: Chełm
Kontakt:

Re: php - separacja uprawnien

Post autor: Spaulding » 2009-05-11, 15:12

mozesz odpalic apache'a w trybie itk ;) pozatym php z suphp + cgi jest o wiele wydajniejszy niz zwykly apache + php. Home.pl np. robi jaila dla kazdego konta www.
Powered By:
funtoo, openbox, mc, ekg2, git, ssh...
(very unstable packages but stable system :>)

zlywilk
Użytkownik
Posty: 2
Rejestracja: 2009-05-10, 17:33

Re: php - separacja uprawnien

Post autor: zlywilk » 2009-05-11, 22:11

Dzięki za naprowadzenie mnie na itk. Mpm peruser jest nawet bardziej obiecujący. Nie przyszło mi do głowy szukać rozwiązań związanych z Apache, a nie samym Php.

Zupełnie nie pasują mi aplikacje mające prawa do edycji własnych plików. Dla każdego użytkownika będę z automatu tworzył dodatkowego użytkownika z przedrostkiem www-, należącego do grupy użytkownika. Apache będzie działał jako ten 'podużytkownik', tworząc pliki mod 660, żeby użytkownik mógł je kasować/zmieniać za pomocą ssh/ftp. Pliki tworzone przez właściwego użytkownika będą miały mod 640.

Ma sens?

Do tego wszystkiego będzie chyba potrzebny jeszcze jeden użytkownik, należący do wszystkich grup do tworzenia backupów :)

ODPOWIEDZ