[openmamba-devel-it] configurare apache

Ercole Carpanetto ercole69 a gmail.com
Ven 4 Dic 2009 12:11:08 CET 

2009/12/4 Fabio Giani <fabio.giani a gmail.com>

>  Ercole Carpanetto ha scritto:
>
> 2009/12/4 Fabio Giani <fabio.giani a gmail.com>
>
>> Ho fatto una breve googolata ma non so bene come cercare l'info, magari
>> qualcuno mi sa dare una dritta!
>> Ho un server web con openmamba che uso per test e prove varie dove ho
>> creato più utenti, per ogni utente i contenuti web sono posizionati in
>> /home/utente/public_html quindi ogni utente può connettersi in ftp
>> caricare/cancellare/creare file ecc nella sua home, i contenuti sono poi
>> accessibili su http://server/~utente <http://server/%7Eutente>, tutto
>> funziona regolarmente tranne per alcuni problemi di permessi.
>>
>>    1. Se la pagina php deve scrivere/leggere un file lo fa come utente
>>    'apache' e non come utente 'utente' quindi ciò rende necessario che i
>>    permessi delle cartelle siano 777.
>>    2. I file creati da apache non sono modificabili da utente quindi in
>>    caso di errori non è possibile agire via ftp ma devo intervenire in locale o
>>    in ssh come root
>>
>> Quindi mi chiedevo se esiste la possibilità di configurare apache in modo
>> tale che quando esegue una pagina nella home di un utente lo faccia con i
>> permessi di tale utente anziché con i suoi.
>>
>> Fabio
>>
>  Per prima cosa mi pare molto pericoloso dare i permessi di apache agli
> utenti: così facendo io posso uploadare e eseguire uno script malevolo!
>
> In realtà io volevo ottenere l'inverso, dare ad apache i permessi
> dell'utente di cui sta eseguendo la procedura, in pratica quello che avviene
> sui server web normalmente! per esempio immaginiamo che io e te abbiamo due
> siti www.fabio.it  e www.ercole.it  questi siti si appoggiano al server
> hosting di provirertaldeitali che ci assegna una quota di spazio quando la
> mia applicazione scrive su disco lo fa come fabio quando lo fa la tua lo
> farà come ercole.
>
> Mi pareva strano :-) Ho capito al contrario io quindi...

> Comunque la  cosa più veloce che mi viene in mente è assegnare gli utenti e
> apache a un gruppo comune, così da mettere i permessi dei file a 770 (o
> meglio ancora 660)
>
> Può essere un trucco valido ma non la soluzione corretta
>
Ovviamente no

> Altrimenti cambi i permessi e i proprietari dopo l'upload nella procedura
> php con chmod e chown (devi avere l'utente apache nei sudoers per poterlo
> fare).
> Che sappia io quello che vuoi fare tu non è fattibile direttamente a
> livello server (ma attendo smentite da più esperti).
> Ribadisco comunque la mia perplessità a livello di sicurezza
>
> La sicurezza sarebbe maggiore se riuscissi a fare quello che pensavo io
> perchè ora le applicazioni di tutti gli utenti hanno i permessi globali di
> apache mentre io vorrei che avessero solo i permessi dell'utente.
>
> Prova a dare un occhiata qui http://sun3.org/archives/98 sembra ci siano
degli spunti per fare quello che vuoi fare tu (ad esempio eseguire un
istanza di apache per ogni utente - a questo punto eseguibile con i permessi
dell'utente magari in una jail e con un proxy che filtri le richieste al
server)
Ciao
Ercole

-- 
Freedom is nothing else but a chance to be better.
A.Camus
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://tao/pipermail/openmamba-devel-it/attachments/20091204/73dfdd08/attachment.htm>

Maggiori informazioni sulla lista openmamba-devel-it