| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Ярослав
Гость
|
 Добавлено: Вс Дек 12 2004 23:29 Заголовок сообщения: Права доступа к каталогам |
 |
|
Есть задача создать аккаунт, только для доступа через ftp на свой домашний
каталог, ну и видеть его через апач - это возможно сделать, при этом
домашний каталог аккаунта типа /home/user, где user тот самый аккаунт %)
Так вот вопрос, как сделать, что бы пользователь не мог видеть и
действовать в вышележащих директориях, начиная с / кроме своего домашнего
/home/user, и ограничить этого пользователя от других таких же 
Как это возможно сделать?
ЗЫ Пользователь умудрился просматривать вышележащие каталоги средствами пхп через апач, запретить/конфить пхп - не полагается.
ЗЗЫ Сорри за ламерский вопрос, ведь касается прав доступа, а я в этом не
силён. |
|
| Вернуться к началу |
|
 |
elk
Гость
|
| Добавлено: Пн Дек 13 2004 00:13 Заголовок сообщения: Re: ... |
|
|
| Меняй пермишены (chmod -R) на весь /, чтобы a-rwx было. Если у тебя какие-то пользователи ещё есть, объедини их в одну группу и поставь эту группу на файлы в /. Этого user-а зафигачь в другую группу и поставь соответствующие пермишены в /home/user. Придётся попариться с группой для всех пользователей. Только пусть кто-нибудь ещё ответит, я тут такую фигню могу написать. Уже 12 ночи. |
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Пн Дек 13 2004 13:15 Заголовок сообщения: |
|
|
1) Сними право на Read каталогов /etc, /usr, /var и им подобных (и в их подкаталогах тоже) хотя бы для "остальных" (третья триала атрибутов). Убирать право eXecute нельзя, т.к. очень многие программы лазают на чтение в /etc/passwd и разные др.файлы.
2) Когда я пробовал проводить такую операцию с /home, у меня перестал работать deco. Я понимаю, что данный юзер не пользуется deco но кто его знает... Поэтому имеет смысл запретить чтение юзерских директорий /home/юзер для всех, кроме хозяина. Напоминаю, что Apache лазает в каталоги юзеров от имени спецюзера (nobody или webuser) - этот юзер должен иметь право на eXecute директорий по пути к виртуальным сайтам и к юзерским сайтам на /home/юзер/public_html, а также право на Read к файлам в этих директориях. Всё, что не является публичным, следует оставить доступным только владельцу.
3) Можно поискать в PHP такую фичу как "работа в режиме chroot". А ещё лучше вообще запретить этому юзеру запускать PHP.
4) CGI-скрипты (в т.ч. и PHP) должны запускаться в режиме suExec, иначе будут огромные траблы с разграничением доступа.
_________________
Благословен Бог, сотворивший меня сисадмином! |
|
| Вернуться к началу |
|
|
elk
Гость
|
| Добавлено: Пн Дек 13 2004 16:13 Заголовок сообщения: Re: ... |
|
|
| Цитата: | | Убирать право eXecute нельзя, т.к. очень многие программы лазают на чтение в /etc/passwd и разные др.файлы. |
Ты сам-то понял, что сказал? Я не оговорил, a-x надо только на папки ставить. |
|
| Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск
|
| Добавлено: Пн Дек 13 2004 17:23 Заголовок сообщения: Re: ... |
|
|
не, ну вот сразу диму обвинить что он не понимает что говорит.
а сам понял что сказал?
| elk писал(а): | | Меняй пермишены (chmod -R) на весь /, чтобы a-rwx было. |
я так понял здесь ты предлагаешь сделать chmod a-rwx ?
если да, то у меня нет вопросов. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
