[Lugge] Re: Apache

  • From: Zingus J.Rinkle <1999s039@xxxxxxxxxxxxxxxxxx>
  • To: <lugge@xxxxxxxxxxxxx>
  • Date: Wed, 17 Oct 2001 16:16:34 +0200 (CEST)

> Dai e dai a qualcosa sono giunto: ho creato un link alla documentazione
> e cos=EC riesco a raggiungerla, ma se tento con un secondo link, che punta
> nella mia Home, nulla da fare
> 
> Forbidden You don't have permission to access /masarn1/ on this server.
> 

Il problema sono i permessi:

anche se vediamo :
lrwxrwxrwx   1 root     root    14 ott 16 22:55 masarn1 -> /home/masarn1/
^^^^^^^^^^

Questa e' la descrizione del symlink, non della directory originale...
La directory originale probabilmente ha dei flag del genere:
drwx------

quindi non permette ad users diversi dal padrone della directory o da root
di accedere, neamche per listare (flag x)...

Il proc principale di Apache gira come root, ma gli altri (Apache apre un
numero variabile di processi server a seconda delle richieste) girano con
un altro user id... ("ps -aux | grep httpd" per verificare)
Puoi cambiare l' user ed il group id di questi processi con le direttive
User  (default: nobody),
Group (default: nogroup).

Da cui le seguenti soluzioni:
A]Puoi settare
    User masarn1
    Group users (o quello che e' il gruppo del tuo utente) 
(Ma questo permetterebbe ad un eventuale attacco esterno (tramite un
eventuale bug di apache e/o uno script con una system() di troppo) di
cancellarti la conf (se tu settassi User root, ti rischieresti l'intero
sistema). 

B]Puoi dare i privilegi di lettura sulla dir a world (per esempio 755)
Oppure puoi settare Group di Apache al tuo gruppo e dare privilegi di
lettura sulla tua home al tuo gruppo... (e non al mondo)

Cmqe dal punto di vista della sicurezza, aprire la propria home in lettura
ad un server http e' pericoloso... (A meno di avere su un firewall tra te
e la rete... E' per uso casalingo, vero?)

Saluti,Zingus


<========----------
 Prima di scrivere in m-list per favore leggi il regolamento
 http://lugge.ziobudda.net/benvenuto.html



Other related posts: