PHP/CGI beveiliging

Hoi,

Ik wil een website gaan hosten voor wat klasgenootjes. Maar ik wil niet dat ze m'n hele server overhoop kunnen halen. Nu draait apache als wwwrun ofzo, dus ik verwacht geen enorme problemen. Toch is er 1 ding:

Stel iemand heeft dit bestand:
/home/pietje/public_html/myconfig.php

En daarin staat een wachtwoord.

Dan kan jantje met zijn filemanager (/home/jantje/public_html/fileman.cgi/php) daar toch ook bij. En hij kan dan dus dat wachtwoord lezen.

Is dit te voorkomen (misschien met apache 2 ) Of is dit iets wat gewoon zo is? De search leverde wel wat op, maar er stond niet zoveel bij over apache 2, dus weet iemand hier wat van?
Ik wil php wel gewoon als module draaien en niet met suexec gaan klooien, dat wordt te lastig.

Op woensdag 03 oktober 2001 22:42 schreef j3p het volgende:
alle public html mapjes chmod 750 met als groep de groep waarin de webserver staat en php in safemode.

Dan is je PHP okay

Dan kun je nog steeds via scriptjes een andere map lezen toch?
Die scriptjes draaien tenslotten ook onder wwwrun. En als je die andere map kan lezen, kun je ook dat bestandje waar een wachtwoord in staat lezen....

Op woensdag 03 oktober 2001 23:26 schreef Kertje het volgende:

[..]

als je bestandjes de juiste mode en owner en groep geeft is dat wel uit te sluiten hoor

Tja, maar als apache ze moet kunnen lezen, en je draait je php script als de apache user, dan kun je ze toch gewoon lezen....

Op donderdag 04 oktober 2001 17:05 schreef -=] T_E_O [=- het volgende:
Hey,

Om te voorkomen dat gebruikers elkaars files via cgi kunnen bekijken moet je 's kijken naar suexec van apache...

TEO

Ja, weet ik, maar ik wil eerst PHP goed hebben enzo....