---

er der nogen sikkerhedsproblemer ved at sætte apache til at køre under
gruppen "users" istedet for nogroup ?
- og løser det problemet med at man skal chmode 755 på hele home
biblioteket (med underbiblioteker) for at brugerne kan have /~bruger
hjemmesider...

---

Den Mon, 29 Jan 2001 19:31:31 +0100 skrev SoulMate:
>er der nogen sikkerhedsproblemer ved at sætte apache til at køre under
>gruppen "users" istedet for nogroup ?

Hvis nogen finder et sikkerhedshul, så har de adgang til alt hvad
users har adgang til.

> - og løser det problemet med at man skal chmode 755 på hele home
>biblioteket (med underbiblioteker) for at brugerne kan have /~bruger
>hjemmesider...

Hvis du har det liggender under ~/public_html, så kan du nøjes med
711 på ~.

Mvh
Kent
--
Is windows userfriendly? Nah, more like optimized for idiots.

---

"Kent Friis" <leeloo@mailandnews.com> skrev i en meddelelse
news:a5jd6.294$aw.9994@twister.sunsite.dk...
> Den Mon, 29 Jan 2001 19:31:31 +0100 skrev SoulMate:
> >er der nogen sikkerhedsproblemer ved at sætte apache til at køre
under
> >gruppen "users" istedet for nogroup ?
>
> Hvis nogen finder et sikkerhedshul, så har de adgang til alt hvad
> users har adgang til.

men ikke med at lave et script der evt. ku smadre alle de andres sider
_fordi_ apache kørte som users - og det ikke kan lade sig gøre hvis
den kører nogroup ?

>
> > - og løser det problemet med at man skal chmode 755 på hele home
> >biblioteket (med underbiblioteker) for at brugerne kan have
/~bruger
> >hjemmesider...
>
> Hvis du har det liggender under ~/public_html, så kan du nøjes med
> 711 på ~.

hmm, så er der jo ingen grund til at lave det andet trick!


--
SoulMate

---

Den Mon, 29 Jan 2001 20:42:27 +0100 skrev SoulMate:
>"Kent Friis" <leeloo@mailandnews.com> skrev i en meddelelse
>news:a5jd6.294$aw.9994@twister.sunsite.dk...
>> Den Mon, 29 Jan 2001 19:31:31 +0100 skrev SoulMate:
>> >er der nogen sikkerhedsproblemer ved at sætte apache til at køre
>under
>> >gruppen "users" istedet for nogroup ?
>>
>> Hvis nogen finder et sikkerhedshul, så har de adgang til alt hvad
>> users har adgang til.
>
>men ikke med at lave et script der evt. ku smadre alle de andres sider
>_fordi_ apache kørte som users - og det ikke kan lade sig gøre hvis
>den kører nogroup ?

Hvis du har en fil hvor users har skriveret til, vil andre der kan
lægge scripts ind kunne overskrive den, uden hjælp fra apache -
medmindre de kun har chroot'et ftp-adgang - så er de nødt til at
have hjælp fra apache.

>> > - og løser det problemet med at man skal chmode 755 på hele home
>> >biblioteket (med underbiblioteker) for at brugerne kan have
>/~bruger
>> >hjemmesider...
>>
>> Hvis du har det liggender under ~/public_html, så kan du nøjes med
>> 711 på ~.
>
>hmm, så er der jo ingen grund til at lave det andet trick!

Det afhænger af hvilket sikkerhedsniveau du vil opnå - folk kan
stadig komme ind i andre mapper, og åbne filer HVIS de kender navnet.

En tredje mulighed er at lave en anden mappe, så fx. brugeren
hans har /home/hans, men web-siderne ligger i /web/hans. Så har
/home ikke nogen betydning længere.

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Railroad
Tycoon II and Unreal Tournament run side by side

---

"Kent Friis" <leeloo@mailandnews.com> skrev i en meddelelse
news:%Xjd6.360$aw.11722@twister.sunsite.dk...
> >men ikke med at lave et script der evt. ku smadre alle de andres
sider
> >_fordi_ apache kørte som users - og det ikke kan lade sig gøre hvis
> >den kører nogroup ?
>
> Hvis du har en fil hvor users har skriveret til, vil andre der kan
> lægge scripts ind kunne overskrive den, uden hjælp fra apache -
> medmindre de kun har chroot'et ftp-adgang - så er de nødt til at
> have hjælp fra apache.

der er vel ikke nogen filer der som standard har user som group ?

> >> > - og løser det problemet med at man skal chmode 755 på hele
home
> >> >biblioteket (med underbiblioteker) for at brugerne kan have
> >/~bruger
> >> >hjemmesider...
> >>
> >> Hvis du har det liggender under ~/public_html, så kan du nøjes
med
> >> 711 på ~.
> >
> >hmm, så er der jo ingen grund til at lave det andet trick!
>
> Det afhænger af hvilket sikkerhedsniveau du vil opnå - folk kan
> stadig komme ind i andre mapper, og åbne filer HVIS de kender
navnet.
>
> En tredje mulighed er at lave en anden mappe, så fx. brugeren
> hans har /home/hans, men web-siderne ligger i /web/hans. Så har
> /home ikke nogen betydning længere.

hmm, hvordan sætter man apache op til det ?
- kan den ikke kun sætte et eller andet på homedir ? (f.eks.
/home/*/public_html ?)


--
SoulMate

---

"SoulMate" <soulmate@vvvDOTsubnet.dk> skrev i en meddelelse
news:hrkd6.16680$fa3.835812@news010.worldonline.dk...
> hmm, hvordan sætter man apache op til det ?
> - kan den ikke kun sætte et eller andet på homedir ? (f.eks.
> /home/*/public_html ?)

Prøv lige at kigge på
http://httpd.apache.org/docs/mod/mod_userdir.html#userdir


_________________________________________________________________________
Lenin er en Onkel Morfar, se selv her:
http://www.leninisme.org/