|
Титла: Apache - различен домейн, различен потребител и група Публикувано от: Breakfist в Aug 09, 2010, 12:14 Здравейте,
Искам да направя apache да работи с различен потребител за всеки домейн. Ето какво съм добавил в httpd.conf Код: <VirtualHost myIPaddress:80> Предварително съм създал потребителя и групата, които използвам в suexec (от примера по-горе - test:test) Резултата обаче съвсем не е това, което трябва :) Код: uid=33(www-data) gid=33(www-data) groups=33(www-data) Бъркам или пропускам нещо, някой може ли да ми каже? благодаря предварително. Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: borovaka в Aug 09, 2010, 12:19 Разгледай това:
http://httpd.apache.org/docs/2.0/mod/perchild.html#childperuserid ($2) Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: b2l в Aug 09, 2010, 12:28 Ах, че готина идейка :). Как не съм попаднал на нещо такова по-рано. Благодаря Ви и на двамата.
Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: Breakfist в Aug 09, 2010, 12:58 Цитат This module is not functional. Development of this module is not complete and is not currently active. Do not use perchild unless you are a programmer willing to help fix it. Някаква алтернатива може ли да ми предложите ;) Целта ми е да мога да хостна на машината си повече от един сайт без единия да има достъп до файловете на другите. Единственото решение, което ми хрумна е да намеря начин да задам за всеки домейн различен потребител и група, след което с chmod да наглася правата.. Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: Naka в Aug 09, 2010, 14:03 Единственото решение, което ми хрумна е да намеря начин да задам за всеки домейн различен потребител и група, след което с chmod да наглася правата.. Нещо такова трябва да е. Ако съм те разбрал правилно.... правиш по една home директория за всеки потребител/група. и привързваш съответният домейн към нея. например правиш /home/test.mydomain.com rwxrwx--- test:test с права test:test и конфигурация на апачито така DocumentRoot /home/test.mydomain.com апачито работи с права apache.apache за да може то да чете тази директория добававяш user apache към групата на test t.e ако /home/test.mydomain.com има пермишъни rwxrwx--- то значи че юсера ще може да чете и пише първото (rwx*** ***) щото е собственик. А апачито ще може да чете и пише от второто (***rwx***) щото е в групата на test Това ли питаш? Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: Breakfist в Aug 09, 2010, 14:18 Единственото решение, което ми хрумна е да намеря начин да задам за всеки домейн различен потребител и група, след което с chmod да наглася правата.. Въпроса е, че например ако отворя domain1.com/shell.php ще мога да ровя из файловете и на domain2, domain3, etc. Търса начин apache да работи с отделен юзър за всеки домейн. Например собственика на domain1.com да бъде user1:user1 Собственик на domain1.net да бъде user2:user2 Собственик на domain1.org да бъде user3:user3 и т.н. По този начин когато задам права само на собственика той няма да може да влиза по другите директории, защото няма да има права там. =================== Ето как изглежда httpd.conf в момента Код: <VirtualHost IP:80> При опит да заредя файл от директорията ми връща грешка 500. error.log Код: [Mon Aug 09 14:09:20 2010] [error] [client ***] File does not exist: /home/domain.com/public_html/directory/favicon.ico suexec.log Код: [2010-08-09 14:09:25]: uid: (1005/test) gid: (1005/test) cmd: test.php Идей? ??? Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: b2l в Aug 09, 2010, 14:20 Ми ако тия user1, user2, etc са в групата на www-data няма ли да стане?
Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: Breakfist в Aug 09, 2010, 14:27 Ми ако тия user1, user2, etc са в групата на www-data няма ли да стане?Не, пак ще имат права в/у чиждите файлове. Пробвах различни варианти и просто стигнах до заключението, че трябва да са различни и потребителя и групата за всеки домейн :) От това което съм виждал от web хостинг провайдърите, те го правят по същия начин. ВЪЗМОЖНО Е. Въпроса е как? :) Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: Naka в Aug 09, 2010, 14:29 Цитат Въпроса е, че например ако отворя domain1.com/shell.php ще мога да ровя из файловете и на domain2, domain3, etc. ами да ти какво очакваш нали domain1.net domain1.com domain1.org са публични. Т.е файловете им са достъпни за четене не само от избраните юзери а от цялото земно кълбо. (Е ако извествен URL-a) То това е и принципът на интернет. Не мога да разбера какво се опитваш да направиш. Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: bop_bop_mara в Aug 09, 2010, 14:33 Не мога да разбера какво се опитваш да направиш. Нещо като хостинг компания? Единият клиент (потребител на сървъра) не трябва да знае какви други клиенти има и какви сайтове те си хостват? Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: romeo_ninov в Aug 09, 2010, 14:33 Това не е точно така, защото ако имаш php файлове то интернет вижда резултата от изпълнението им, а не само те файлове. А това, последното се случва в горния случай Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: Breakfist в Aug 09, 2010, 15:08 Именно. До сега съм си хоствал само лични сайтчета и винаги за сигурността им съм отговарял аз, за това не ми е трябвало. В момента обаче искам да хостна на още 2 приятелчетата сайтовете - не ме притеснява, че ще ми качат шелче или нещо такова, притеснява ме, че някой ако им хакне сайтовете изгарят и моите неща на машината.Не мога да разбера какво се опитваш да направиш. Идеята ми е.. Хакнат ли user1, да си изгори неговия сайт щом е глупав и не може да си напише хубаво кода, обаче не заради него да изгориме и всички останали, които ползваме същия сървър. Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: Naka в Aug 09, 2010, 15:16 Ако се добави user apache към групата на всеки потребител, и хоме дирекориите са с пермишъни rwxr-x--- то никой юзер няма да може да пише във файловете на другият.
Единственото изключение е ако някой юзер си публикува адресса публично към собсвеният файл, (или пък другият юзер разбере по някъкв начин адреса на файла) тогава този файл може да се чете от всички. Но..... Къкво би станало ако юзер1 си сложи файл с пермишъни rwxrwx--- в хоме директорията (т.е. може да се пише в групата и от apache) и адреса на този файл (rwxrwx---) го научи някой друг, то може ли другият юзер да презапише този файл с някоя от функциите за работа с физически файлове в php? За достъп до файловете пускаш по едно ftp към хоме директорията на всеки потребител. С тези пермишъни през ftp никой юзер няма да има достъп до файловете на другият. Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: Breakfist в Aug 09, 2010, 16:10 Ако се добави user apache към групата на всеки потребител, и хоме дирекориите са с пермишъни rwxr-x--- то никой юзер няма да може да пише във файловете на другият. Мерси за идеята, но аз съм написал точно какво искам да постигна. Всички останали начини ми се виждат не чак толкова надеждни, а в security аспект съм малко параноичен ;) Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: p3tzata_ в Aug 09, 2010, 17:00 Възможно ли е да стана по този начин http://www.howtoforge.com/running-vhosts-under-separate-uids-gids-with-apache2-mpm-itk-on-ubuntu-9.10
Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: Breakfist в Aug 09, 2010, 17:31 Възможно ли е да стана по този начин http://www.howtoforge.com/running-vhosts-under-separate-uids-gids-with-apache2-mpm-itk-on-ubuntu-9.10Обичам те :D Перфектно е, точно това исках. Мерси много. Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: neter в Aug 09, 2010, 19:12 Аз наскоро давах едно алтернативно решение, което се постига с един потребител тук ($2). Не е толкова сигурно, колкото схемата с много потребители, но ако човек няма нужда от тези много потребители (например, не предвижда да дава ssh достъп на всеки потребител), бих препоръчал да се ползва схемата с един потребител, тъй като е далеч по-удобна, а с малко умисъл може да бъде достатъчно сигурна ;)
Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: Breakfist в Aug 09, 2010, 20:17 То и другата тема е от мен :) Търсих я, но не можах да я издиря, за това пуснах нова :)
Ще тествам и двата варианта и ще видя кой ме устройва повече.. Мерси :) Титла: Re: Apache - различен домейн, различен потребител и група Публикувано от: Neoromantic в Sep 03, 2010, 15:23 Breakfist, виж това:
http://dhstudio.eu/articles/apache2_mpm_itk_module/apache2_mpm_itk_module.html Намерих го случайно. Сетих се, че имаше такава тема тук и го слагам. В случай, че си се оправил може да помогне евентуално на някой друг. Взето е от тук http://mpetrov.net/. |