Дыра в Apache ...

0

0

Вопрос в следующем. Пользователь пишет скрипт (perl, php), которому в качестве параметра передается абсолютный путь к файлу и этот скрипт пытается этот файл отобразить на экране. Помещает скрипт в cgi-bin, запускает его с параметром(путь к файлу) и читает все файлы на сервере, которые пожелает.

Можно ли сконфигурить Apache так, чтобы юзер не мог этого делать?

Ссылка

←	Проблемы с брандмауэром

Help: Маскарадинг !!!

→

Возможно ли решение без chroot'а?

anonymous
(14.11.02 15:41:31 MSK)

Ответ на: комментарий от anonymous 14.11.02 15:41:31 MSK

:) Ну дык... ЫЫЫЫЫ Параметр user посмотри в httpd.conf

anonymous
(15.11.02 11:15:35 MSK)

Ответ на: комментарий от anonymous 15.11.02 11:15:35 MSK

Этот параметр дела не меняет. У меня httpd работает под юзером apache, ну и что? Любой, кто запускает такой скрипт может читать на сервере все, что доступно по чтению юзеру apache, в том числе и содержимое папок других пользователей веб-сервера.
Единственный путь, как мне кажется, запускать httpd в chroot, это не позволить смотреть то, что не в чруте, но то, что в чруте все равно будет доступно (папки и файлы других пользователей)
По идее нужно чрутить каждого пользователя, но я не знаю как это делать.

anonymous
(15.11.02 12:46:14 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проблемы с брандмауэром

Admin

Help: Маскарадинг !!!

→

Похожие темы