/u/34550/crop5fb18601699ca_cropped.png?f=community)
Ik heb een probleem met het inregelen van beveiliging mbt Linux en
Apache 2.2. Ik loop namelijk tegen enkele beperkingen aan van apache
2.2. Nu draai ik nog alles onder httpd:httpd (onze webserver-user) en
php safe-mode. Waar ik naar toe wil is een situatie waarin apache draait
met de rechten van een user, zodat deze in principe niet langer buiten
de docroot kan komen (of iig niet in de docroot van anderen).
Op het eerste gezicht is dit vrij standaard: men neme apache 2.2 met
suexec/mod_ruid/mod_suid2/suphp/mpm-itk en Klaar is Kees. In mijn
situatie zijn er echter enkele complicaties, waarvan de belangrijkste is dat niet iedereen de beschikking heeft over een domeinnaam. Sommigen werken met userdirs (host.nl/~user); anderen hebben een url met een alias (host.nl/alias), waarbij host.nl = mijn host. De grap is dat je meestal in moet stellen met welke privileges apache moet draaien, maar dat dit alleen per virtualhost kan. En userdirs en aliasen hebben natuurlijk geen eigen virtualhost.
Sommige modules hebben de mogelijkheid om het apache-proces automatisch onder de owner en group te laten draaien (zoals mod_ruid), maar het probleem hiermee is dat in sommige docroots bestanden staan met verschillende owners (en dus weer dat je alleen per virtualhost aan kunt geven of de rechten preconfigured zijn of over moet worden genomen van de owner). Bovendien werken de meeste modules of alleen voor php, of alleen voor voor cgi.
Hopelijk is mijn probleem zo een beetje duidelijk. Heeft iemand hier ervaring met het draaien van apache onder verschillende IDs icm aliases en/of userdirs?
Apache 2.2. Ik loop namelijk tegen enkele beperkingen aan van apache
2.2. Nu draai ik nog alles onder httpd:httpd (onze webserver-user) en
php safe-mode. Waar ik naar toe wil is een situatie waarin apache draait
met de rechten van een user, zodat deze in principe niet langer buiten
de docroot kan komen (of iig niet in de docroot van anderen).
Op het eerste gezicht is dit vrij standaard: men neme apache 2.2 met
suexec/mod_ruid/mod_suid2/suphp/mpm-itk en Klaar is Kees. In mijn
situatie zijn er echter enkele complicaties, waarvan de belangrijkste is dat niet iedereen de beschikking heeft over een domeinnaam. Sommigen werken met userdirs (host.nl/~user); anderen hebben een url met een alias (host.nl/alias), waarbij host.nl = mijn host. De grap is dat je meestal in moet stellen met welke privileges apache moet draaien, maar dat dit alleen per virtualhost kan. En userdirs en aliasen hebben natuurlijk geen eigen virtualhost.
Sommige modules hebben de mogelijkheid om het apache-proces automatisch onder de owner en group te laten draaien (zoals mod_ruid), maar het probleem hiermee is dat in sommige docroots bestanden staan met verschillende owners (en dus weer dat je alleen per virtualhost aan kunt geven of de rechten preconfigured zijn of over moet worden genomen van de owner). Bovendien werken de meeste modules of alleen voor php, of alleen voor voor cgi.
Hopelijk is mijn probleem zo een beetje duidelijk. Heeft iemand hier ervaring met het draaien van apache onder verschillende IDs icm aliases en/of userdirs?
12 × LG 330Wp (Enphase) | Daikin FTXM-N 3,5+2,0+2,0kW | Panasonic KIT-WC03J3E5 3kW
/u/45874/bofh.png?f=community)