Ik draai apache met suexec. Suexec draait correct volgens apache (httpd -l).
Ik heb alle users in de groep "users" zitten. Bij alle virtual hosts geef ik aan dat de betreffende user en group gebruikt moeten worden.
Als ik de bestanden alleen leesbaar maak voor de user en dus niet de groep, dan kan apache er niet meer bij. Als ik ze wel leesbaar maak voor de groep gaat het prima met apache, maar dan kunnen alle shell-users uit dezelfde group de files ook lezen en op die manier eventuele configuratiebestanden achterhalen.
Hier heb ik twee vragen over:
1. Is het mogelijk om apache alleen op basis van de user (dus niet group) bestanden te laten lezen?
2. Of kan je met bijvoorbeeld suphp php-files lezen die alleen readable zijn voor de user (die dus niet leesbaar zijn voor de group)?
Ik hoop dat iemand mij hier wat meer info over kan geven, want ik ben al een paar dagen aan het zoeken.
En heeft iemand toevallig een idee hoe bijvoorbeeld XS4all dat doet. Als je daar namelijk inlogt (shell) dan zit je ook in 1 groep met alle andere gebruikers. Toch is het niet mogelijk om de (WWW)-bestanden van een andere user te lezen.
Ik heb alle users in de groep "users" zitten. Bij alle virtual hosts geef ik aan dat de betreffende user en group gebruikt moeten worden.
Als ik de bestanden alleen leesbaar maak voor de user en dus niet de groep, dan kan apache er niet meer bij. Als ik ze wel leesbaar maak voor de groep gaat het prima met apache, maar dan kunnen alle shell-users uit dezelfde group de files ook lezen en op die manier eventuele configuratiebestanden achterhalen.
Hier heb ik twee vragen over:
1. Is het mogelijk om apache alleen op basis van de user (dus niet group) bestanden te laten lezen?
2. Of kan je met bijvoorbeeld suphp php-files lezen die alleen readable zijn voor de user (die dus niet leesbaar zijn voor de group)?
Ik hoop dat iemand mij hier wat meer info over kan geven, want ik ben al een paar dagen aan het zoeken.
En heeft iemand toevallig een idee hoe bijvoorbeeld XS4all dat doet. Als je daar namelijk inlogt (shell) dan zit je ook in 1 groep met alle andere gebruikers. Toch is het niet mogelijk om de (WWW)-bestanden van een andere user te lezen.
None