Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Ярослав Гость
|
Добавлено: Вс Дек 12 2004 23:29 Заголовок сообщения: Права доступа к каталогам |
|
|
Есть задача создать аккаунт, только для доступа через ftp на свой домашний
каталог, ну и видеть его через апач - это возможно сделать, при этом
домашний каталог аккаунта типа /home/user, где user тот самый аккаунт %)
Так вот вопрос, как сделать, что бы пользователь не мог видеть и
действовать в вышележащих директориях, начиная с / кроме своего домашнего
/home/user, и ограничить этого пользователя от других таких же
Как это возможно сделать?
ЗЫ Пользователь умудрился просматривать вышележащие каталоги средствами пхп через апач, запретить/конфить пхп - не полагается.
ЗЗЫ Сорри за ламерский вопрос, ведь касается прав доступа, а я в этом не
силён. |
|
Вернуться к началу |
|
|
elk Гость
|
Добавлено: Пн Дек 13 2004 00:13 Заголовок сообщения: Re: ... |
|
|
Меняй пермишены (chmod -R) на весь /, чтобы a-rwx было. Если у тебя какие-то пользователи ещё есть, объедини их в одну группу и поставь эту группу на файлы в /. Этого user-а зафигачь в другую группу и поставь соответствующие пермишены в /home/user. Придётся попариться с группой для всех пользователей. Только пусть кто-нибудь ещё ответит, я тут такую фигню могу написать. Уже 12 ночи. |
|
Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003 Сообщения: 415 Откуда: Moscow
|
Добавлено: Пн Дек 13 2004 13:15 Заголовок сообщения: |
|
|
1) Сними право на Read каталогов /etc, /usr, /var и им подобных (и в их подкаталогах тоже) хотя бы для "остальных" (третья триала атрибутов). Убирать право eXecute нельзя, т.к. очень многие программы лазают на чтение в /etc/passwd и разные др.файлы.
2) Когда я пробовал проводить такую операцию с /home, у меня перестал работать deco. Я понимаю, что данный юзер не пользуется deco но кто его знает... Поэтому имеет смысл запретить чтение юзерских директорий /home/юзер для всех, кроме хозяина. Напоминаю, что Apache лазает в каталоги юзеров от имени спецюзера (nobody или webuser) - этот юзер должен иметь право на eXecute директорий по пути к виртуальным сайтам и к юзерским сайтам на /home/юзер/public_html, а также право на Read к файлам в этих директориях. Всё, что не является публичным, следует оставить доступным только владельцу.
3) Можно поискать в PHP такую фичу как "работа в режиме chroot". А ещё лучше вообще запретить этому юзеру запускать PHP.
4) CGI-скрипты (в т.ч. и PHP) должны запускаться в режиме suExec, иначе будут огромные траблы с разграничением доступа. _________________ Благословен Бог, сотворивший меня сисадмином! |
|
Вернуться к началу |
|
|
elk Гость
|
Добавлено: Пн Дек 13 2004 16:13 Заголовок сообщения: Re: ... |
|
|
Цитата: | Убирать право eXecute нельзя, т.к. очень многие программы лазают на чтение в /etc/passwd и разные др.файлы. |
Ты сам-то понял, что сказал? Я не оговорил, a-x надо только на папки ставить. |
|
Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001 Сообщения: 1836 Откуда: Бердск
|
Добавлено: Пн Дек 13 2004 17:23 Заголовок сообщения: Re: ... |
|
|
не, ну вот сразу диму обвинить что он не понимает что говорит.
а сам понял что сказал?
elk писал(а): | Меняй пермишены (chmod -R) на весь /, чтобы a-rwx было. |
я так понял здесь ты предлагаешь сделать chmod a-rwx ?
если да, то у меня нет вопросов. |
|
Вернуться к началу |
|
|
|