Apache, 755 и 777

Собрать PHP, как CGI.

Для CGI установить suexec.

Если есть возможность отконфигурировать апач то есть возможность и сделать так

chown -R www-data:www-data dir

может быть поможет

сменит владельца твоей директории на пользоваетеля от которого обычно апач запускается и он сможет писать туда, где права 755

Как можно писать туда, где это запрещено и он не владелец ?

775 Разрешено писать только создателям.

Если у Вас кто-то пишет туда, где работает Apache, рекомендую Вам изначально создателя директории и файлов ставить Апача.

Далее, уже идти от того, как пользователя привязать к группе, которая может писать там.

seolancer, покупать VPS для того чтобы потом на нем PHP как CGI ставить ...

redbadcat, ну тогда юзверь не сможет ничего руками редактировать...

Nicola, дык вот и надо эту проблему решить. То ли апач от юзверя запускать (гы), то ли юзверя от апача (гы-гы)...

Причем это не только ж у меня. Практически любой shared хостинг, к примеру от Мастерхостов, на который установлена CMS. При установке как минимум на папку uploads придется 777 поставить, для того чтобы апач посредством CMS туда писал. Зачастую таких папок больше. И это рождает дыры в безопасности и уязвимости даже не сайтов, а серверов. Щас взяли VPS, вот и задумались...

а можно про группы подробнее?

А почему нельзя просто прочитать книгу по юниксу? Ну невозможно в форуме всё узнать.

VPS - это не панацея.

Права на файл - это число, записанное обычно в восьмеричной форме:

- права для владельца файла

- права для членов группы файла

- права для всех

каждое право - это три бита, rwx соответственно :

- левый - читать,

- средний - писать,

- правый - для файлов выполнять, для директорий входить в неё

восьмеричное 0754 - права в битовой форме 111 101 100 , обычно записываются для файла rwxr-xr--, для директории drwxr-xr--, тире напротив отсутствующего права.

rwx - права владельца файла читать, писать, выполнять

r-x - права членов группы файла читать и выполнять или заходить в директорию

r-- - права всех остальных читать файл (или читать директорию, но не заходить в неё).

Право --x позволит зайти в директорию, но не прочитать её контент :)

Права ставятся командой chmod, владельцы командой chown . Пример, который нужен для организации доступа в папку upload юзера vova и апача:

chown vova.www-data upload

chmod 770 upload

vova.www-data - это обозначение пользователя и группы.

теперь права на директорию будут 770, drwxrwx--- , и писать в неё сможет её владелец и апач, который обычно работает от пользователя www-data.www-data . Апач и все его скрипты смогут в этой директории делать что захотят, поэтому защита относительная, она только не позволяет другим пользователям shared хостинга зацти через ssh и покопаться (даже прочитать) в этой директории. Всё потому, что php процессы всех пользователей работают от одного пользователя www-data.www-data .

Чтобы получить защиту лучше, запускают каждый процесс php от имени пользователя, указанного в конфигурации vhost, и владельцем upload делают не vova.www-data, а группу пользователя - vova.vovagroup . Тогда никто лишний - даже апач - не может ничего испортить, но резко падает производительность выволнения скриптов, на порядки - поэтому так делают не всегда.

как вариант: поставить 775 и внести апача в группу юзера

ну и еще есть ACL

Pilat, спасибо за подробное разъяснение. Правда, все я и не пытаюсь узнать, тем более через форум, поэтом Ваш сарказм мне непонятен. А книжки по никсам в 2 часа ночи к сожалению в продаже как на зло отсутствовали :)

Creeping Shadow, mpm-itk

а не страшно mpm-itk ? апача-то от рута пускать придется.

А апач и так от рута пускается.

Другое дело что дочерние процессы идут от nobody. И как тут не вспомнить mpm-peruser?