[Apache] CGI permissies per virtualhost - Linux en overige clients

zaterdag 17 mei 2003 21:05

Acties:

Topicstarter

Ik ben bezig een webservertje op te zetten voor wat shared hosting,
nu vraag ik me alleen hoe ik op een veilige manier kan omgaan met CGI (zoals safe_mode in PHP)

ik heb een volgende structuur aangehouden:
/home/www/kees
/home/www/kees/cgi-bin
/home/www/kees/www
/home/www/piet
/home/www/piet/cgi-bin
/home/www/piet/www
enz.....

nu gaat het erom dat user piet niet de bestanden kan inlezen van user kees.
Ik las wel dat je een user kon jailen, maar kan die user dan nog wel bij /usr/bin/perl ? of moet ik dat perl gebeuren kopieren? 't lijkt me dat als ik per user dat perl gebeuren moet kopieren dat dat op den duur redelijk wat ruimte in neemt
Of is er misschien andere manier om dit op te lossen?

Een vergissing is menselijk maar om er een puinhoop van te maken heb je een computer nodig (met mij erachter)

zaterdag 17 mei 2003 23:09

Acties:

MikeN

suexec vind ik over het algemeen wel genoeg. De scripts draaien dan gewoon onder het users' eigen useraccount en zolang de rechten op de dirs goed staan is er dan dus niets aan de hand. Meer daarover op http://httpd.apache.org/docs/suexec.html bijna elke linux distro heeft het wel standaard ingebouwd.

zaterdag 17 mei 2003 23:13

Acties:

muis

Topicstarter

daar had ik idd ook al naar gekeken,
ga ik iig ook erop zetten,

maar ook het inlezen van bestanden als /etc/passwd (oid) mag niet door gebruikers gedaan te worden. Volgens mij is dat suexec dan niet genoeg

Een vergissing is menselijk maar om er een puinhoop van te maken heb je een computer nodig (met mij erachter)

zaterdag 17 mei 2003 23:30

Acties:

MikeN

Als je niet wil dat mensen naar /etc/passwd kunnen kijken (wat ik totaal geen probleem vind, maar goed), dan zul je de users moeten chrooten/jailen. Hoe dit gaat heb ik geen ervaring mee, maar is genoeg over op internet te vinden.