Utente Apache e Owner Files...

[GrG]

Ciao ragazzi;

apro l'ultimo tread (lo prometto) sui permessi di apache/php - ftp

allora, il problema è questo:

Di default apache gira con un utente x e gruppo 1 mentre i files degli utenti FTP hanno utente y e gruppo 1.

In questo modo per far scrivere apache su quei files è dare i permessi di scrittura al gruppo.

Per ovviare al problema e quindi far "girare" apache con l'uid dell'utente si usano estensioni come suphp (che funziona in modo diretto) o suexec (che funziona poichè si fa girare php come cgi...)

E fin qui tutto ok

Poi ieri mi sono scontrato con un hoster che non ha nessuna delle mod sopracitate, ma con apache che, anche con i permessi 700 ad un file riesce a scriverci. Apache gira con uid 501 e gid 500.

Da FTP e PHP (l'uid dello stesso file lo ho controllato sia via ftp sia via fileowner() per avere un riscontro) l'uid e gid dei miei files risultano 501 e 500. Questo spiega quello che ho raccontato, ma...

Mi chiedo: uid e gid sono coperti in qualche modo (che io sappia via ftp si può fare, ma via php no...) o veramente possono aver dato a tutti gli utenti uid e gid di apache? Non sarebbe un grandissimo rischio per la sicurezza se così fosse?

EDIT: si tratta di superweb.ws...

[niko]

Probabilmente non usa neppure account di sistema (ma su LDAP / database) per gli utenti FTP.. associarli tutti all'UID/GID usato da Apache però non mi pare il massimo!

OK che probabilmente FTP sarà chrootato alla home directory e che ci sarà solo PHP con un adeguato open_basedir ma a me pare comunque una soluzione "rozza"...

[GrG]

sisi logicamente si parlava di utenti virtuali e non di sistema.

ecco, anche io la penso come te, ma i due fatti di cui ho parlato presi singolarmente non avrebbero senso, ma messi insieme lo hanno eccome...

questo non fa nemmeno più pensare ad una "copertura" dei gid/uid reali...

Edit1: l'admin di superweb me lo ha confermato: non sono coperti, sono veramente uguali

Edit2: Ho notato che in Netsons è lo stesso O.o

uid/gid sono uguali, e non c'è nè suphp nè suexec...

[Rebel]

Probabilmente non usa neppure account di sistema (ma su LDAP / database) per gli utenti FTP.. associarli tutti all'UID/GID usato da Apache però non mi pare il massimo!

OK che probabilmente FTP sarà chrootato alla home directory e che ci sarà solo PHP con un adeguato open_basedir ma a me pare comunque una soluzione "rozza"...

oddio rozza. se ci sono migliai di utenti su un server come su netsons.org ha un suo senso. con open_base_dir blocchi la path per php e tutto fila liscio.

[niko]

servirebbe anche il safe mode per evitare di far killare i thread di apache all'utente ad esempio

[GrG]

quello c'è!

x rebel

si ok ha ragione ma ha più senso così o un sistema con suphp/suexec?

[Rebel]

quello c'è!

x rebel

si ok ha ragione ma ha più senso così o un sistema con suphp/suexec?

suphp o suexec o php-cgi sarebbero la soluzione ideale. però d'altro canto quando hai migliai di utenti sulla stessa macchina risulta molto comodo poter gestire tutto tramite sql, come appunto puoi fare con gli utenti ftp virtuali.
in seguito con i dati di accesso ci fa quel che vuoi senza dover andare a toccare file di sistema di linux.
imho una soluzione come quella di netsons va benissimo, si tratta solo di prestare un po' di attenzione alla configurazione.