- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как вариант - SELinux, как второй вариант - юзверям учиться ставить chmod.
Если используется nginx, то уже не прокатит, т.к. ему файлы нужно читать.
Если только ставить на php файлы одни права, а на статику другие. Хотя бы на файлы конфигурации (где важные данные, к примеру, подключения к базе) ставить права 600. Владелец файл прочитает, а другим - незачем.
Прикол ещё в том, что nginx часто работает под тем же юзером, что и apache по-умолчанию. Поэтому достаточно получить права www, чтобы открывать чужие файлы. И никакие open_basedir тут вообще ничем помочь не смогут.
А вот это если решите - тонну денег заработаете... Я серьезно. Я думаю, мало таких извращенцев, у которых httpd.worker и только CGI (я ztf и прочее не использую принципиально). Сейчас еще хочу per-user организовать... Думаю, ИМХО, будет правильнее.
Кстати, вы же примерно представляете, да, насколько разнится сумма в 100$ и та сумма, которую с вас бы взяли за полный анализ на уязвимости абсолютно всех приложений на сервере?🚬
Естественно.
А вот это если решите - тонну денег заработаете... Я серьезно. Я думаю, мало таких извращенцев, у которых httpd.worker и только CGI (я ztf и прочее не использую принципиально). Сейчас еще хочу per-user организовать... Думаю, ИМХО, будет правильнее.
Apache mpm-itk уже не позволяет получить права www, проверено. (по какой-то причине один раз удалось, не могу сейчас понять как так). А вот cgi/fastcgi без проблем.
Значит, права там касячные стояли на папки, ИМХО. Не думаю, что вы обращали внимание на такую мелочь... но mpm-itk положит высоконагруженные проекты, поэтому его использование чревато... cgi/fcgi зависит именно от прав, т.к. на них openbasedir не действует. Да и вообще openbasedir довольно глючная и неприятная штука....
cgi/fcgi зависит именно от прав, т.к. на них openbasedir не действует.
Не причём тут cgi/fcgi. Просто если Apache идёт prefork и используется cgi/fastcgi, то можно через AddHandler заставить работать php от www, а не от юзера. Т.е. выключаем php и включаем через AddHandler. Получаем обычный mod_php с правами Apache (www). А если используется nginx, то эти права обычно позволяют открывать большинство файлов клиентов.
Himiko, попробуйте.... ))). У меня запустилось от апача. Что как бы намекает ).
Намекает на отсутствие защиты/отключенный selinux. Теперь понятно, почему ты побоялся дать аккаунт для проверки.
Почитаешь вас - плакать хочется...
Как вариант - SELinux, как второй вариант - юзверям учиться ставить chmod.
Третий вариант - нормально настроить сервер. Если там для работы хватает прав 700/600, и umask по умолчанию стоит для этих прав - юзерам незачем будет делать chmod, ибо все работает и так.
Andreyka, Евстественно, млин. Собери кумайл с включенным SELinux - будешь большой молодец. В остальном - купи акк, всего за 50 рублей. И получишь возможность делать все что хочешь с моим сервом (на что знаний хватит). Не такие уж и большие деньги, верно? Я не пиарюсь. Ах, да... Иногда наличие SELinux очень нежелательно, ибо некоторые разрабы до сих пор не умеют писать софт... Например, kloxo - всем знакомо? Так вот. Ищите серверы на ней - все "дырявые". Вебмин? Да не лучше...
Да, если апач работает в режиме префорк, можно запретить mod_php... оставить только сиджиай. У меня даже если апач переведу в префорк, такая записочка в >htaccess даст 500, т.к. я еще полгода назад перевел всех на cgi...
Получаем обычный mod_php с правами Apache (www). А если используется nginx, то эти права обычно позволяют открывать большинство файлов клиентов.
Да, и за разрешение доступа апачем как раз дают права. Ведь если поставить 640 скажем, файл просто не прочитается, верно? И, соответственно, не будет отображен... почему и ставят 644 обычно на файлы (чтобы оно читалось апачем). И, собственно, в режиме mod_php защищать должен open_basedir... Но тут начинается другой момент: если поддержки PHP на домене нет, панелька не прописывает openbasedir для виртуалхоста. А раз так - то подключается модуль в .htaccess... А вот если подключен cgi глобально, это еще может привести к 500 (от так). Соответственно, если openbasedir для виртуалхоста не прописывается панелью из-за cgi/fcgi, начинаем часто думать над правами (а должен ли этот файл читать апач)...