Date: Fri, 5 Nov 2004 23:56:27 +0100 (CET) From: Claus Guttesen <none@cguttesen--yahoo.dk.lh.bsd-dk.dk> Subject: mange brugere i gruppen www på apache/FreeBSD 5.3 To: bsd-dk <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
Hej.
Vil stramme lidt op på sikkerheden på en webserver som
håndterer flere domæner. Så jeg lægger hver enkelt
bruger (domæne) ind i gruppen www i /etc/group. Tester
på de første fire-fem stk. og det går skide godt.
Websiden svarer.
Så kværner jeg alle brugere (domæner) ind i gruppen
www, genstarter apache, så stopper den med at virke.
Fejlen er meget lig den der kan læses på
http://lists.freebsd.org/pipermail/freebsd-questions/2004-May/045850.html.
Men da jeg prøvede forslaget om at lægge brugerne ind
i gruppen nobody, og lægge nobody ind i gruppen www,
virkede det ikke efter hensigten.
Har nogle erfaring med at håndtere 25-30 domæner på en
apache 1.3.33 og FreeBSD 5.3 hvor man ikke løber ind i
tilfældet hvor der er for mange brugere i gruppen www?
Kan man evt. lave et jail for hver enkelt bruger, lade
dem koble sig op på en privat tcp-port, lade pf
omskrive port 80 til den private port? Det bliver
sikkert noget skod, da det er samme ip-adresse som
domænerne deler, det er derfor umuligt at skelne den
ene tcp port 80 fra den anden. Plus det administrative
mareridt.
Er der andre måder at sikre sig at brugerne ikke kan
se de andre brugeres filer? Det er et
mysql/apache/php-oplæg.
Claus
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:46 CET