httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From "Benjamin Podszun" <...@galactic-tales.de>
Subject Re: unterschiedliche UIDs per virtualhost (nicht cgi/suexec)
Date Thu, 24 Jul 2003 12:24:41 GMT
Hallo Joachim.

> Falls ich es richtig verstanden habe:

Ich denke nicht. ;)

> du möchtest deinen Usern (die im Betriebssystem als bspw. "heinz.users"
> bekannt
> sind), eine Möglichkeit bieten, Files via Internet (http) hochzuladen.

Wozu gibt er dann den proftpd an? .. Es geht wohl um FTP-Uploads, meiner
Meinung nach.

<snip>
Gelöscht weil imho nicht passend.
</snip>

> Falls du aber den vhost unter einer anderen uid haben willst, musst du für
> jeden user einen apachen starten.

Das ist so nicht korrekt. Zum einen gibt es das - zugegeben experimentelle
- PerChild-MPM das genau das leistet: Ein Apache-Prozess wechselt seine
UID/GID je nach vhost. Zum anderen habe ich für genau diese Aufgaben schon
apache1-Module gesehen (Zugegeben nicht ausprobiert. Sie waren als nicht
besonders stabil gekennzeichnet).

> Dann stimmt zwar die uid und gid aber du
> hast
> ein gewaltiges Sicherheitsproblem: Jeder kann aus dem Internet mit den
> Rechten
> von heinz.users auf deinem System rumwurschteln. DAS WILLST DU NICHT!

Wie genau meinst du das? Ich will genauso wie Michael exakt das: Jeder
vhost soll unter anderen Rechten laufen. Warum? Weil ich somit jeder
Präsenz einen User mit wenigen Rechten zuordnen kann, statt einfach alle
unter den gleichen Rechten (www, z.B.) laufen zu lassen. Also: Filigrane
Rechtevergabe statt grobem Flickwerk. Anderes Beispiel: Zwei Kunden, beide
nutzen als System-User www: Theoretisch kann Kunde A bei Kunde B Dateien
modifizieren (PHP läuft mit gleichen Rechten bei beiden...).

Oder anders gesagt: DAS WILL ICH!;-)

Gruß,
Ben

> On Thu, 24 Jul 2003 13:07:35 +0200
> Michael Kummer <michael.kummer@mki.bz> wrote:
>
>> hallo liste!
>>
>> ich bin auf der suche nach einer lösung für folgende(s)
>> problem/umgebung:
>>
>> apache 2.0.47/php als dso
>> proftpd 1.2.8
>>
>> user1 uploaded ein file in ein verzeichnis seines webspace. das webspace
>> verzeichnis hat folgende rechte: u+rwx, g+rx, o+rx
>>
>> apache läuft als user/group www/www.
>> nun sollen seine php scripts in der lage sein in seinem webspace-verz.
>> files lesen/schreiben und somit auch löschen zu können.
>> da die scripts aber als user www ausgeführt werden geht das nicht.
>> jetzt kann ich entweder im ftpd die umask auf a+rwx stellen, was ich net
>> möchte oder per cronjob alle paar minuten die rechte anpassen oder...
>>
>> gibts da ne vernünftige lösung, ähnlich suexec bei CGIs?
>> im prinzip sollte jede prozess eines vhosts eine eigene UID/GID haben,
>> also zb. vhost user1.domain.com läuft als UID user1.
>>
>> danke für tips
>>
>> --
>> Mit freundlichen Grüßen / yours sincerly
>>
>>
>> Michael Kummer
>>
>>
>>
>> --------------------------------------------------------------------------
>>                 Apache HTTP Server Mailing List "users-de"
>>       unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
>>            sonstige Anfragen an users-de-help@httpd.apache.org
>> --------------------------------------------------------------------------
>
>
> --
> Steinbach's Guideline for Systems Programming:
> 	Never test for an error condition you don't know how to handle.
>
>
> --------------------------------------------------------------------------
>                 Apache HTTP Server Mailing List "users-de"
>       unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
>            sonstige Anfragen an users-de-help@httpd.apache.org
> --------------------------------------------------------------------------
>
>


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message