[Cascavel-pm] Restringir_acesso_de_leitura_à_pasta_do_usuário

Alceu R. de Freitas Jr. glasswalk3r em yahoo.com.br
Sexta Agosto 1 09:33:59 CDT 2003


Então dá para formular duas perguntas para o Gabriel:

1 - É preciso usar mod_perl? FastCGI não resolveria o
problema?

2 - É necessário checar permissões de arquivo (ou
seja, rodar o Apache com um usuário diferente) para
controlar o acesso aos arquivos?

Talvez dê para fazer isso de uma maneira mais simples
se as respostas foram "não" e "não". :-) 

 --- Raul Dias <raul em dias.com.br> escreveu: > Oi,
> 
> Esta ocorrendo um erro conceitual do que é realmente
> o mod_perl.
> 
> mod_perl não é uma como o php que permite incluir
> páginas com código
> junto do html.  Bem, ele permite fazer isso, mas
> isso é apenas uma
> conseqüência.
> 
> mod_perl é uma extensão do apache em que se coloca o
> interpretador perl
> inteiro dentro do apache em que ele exporta _toda_ a
> API do apache em
> Perl.  Programas/scripts rodando com mod_perl não
> são um processo
> separado, mas fazem parte do mesmo processo do
> apache (pelo menos do
> Child em que foi chamado).  Btw, por isso chroot não
> faz sentido nesse
> caso a não ser que se tenha vários apaches em portas
> diferentes.
> 
> Como conseqüência, qualquer script rodando sob
> mod_perl será o usuário
> do apache (www, web, nobody, ...).  Por isso não
> haveria como restringir
> sem patchs profundos no perl, mod_perl e apache.
> 
> Mas nem tudo esta perdido.
> Existe um patch/módulo em algum lugar que permite
> que o apache rode como
> usuário diferente para cada domínio virtual.  Nesse
> caso com uma
> configuração bem apertada, é possível fazer o que
> você quer.
> Algumas considerações:
> - o patch/módulo é para apache 2 e é experimental
> (pré-alpha).
> - o mod_perl para apache 2 é considerado
> experimental e instável.
> - Você terá a quantidade de recursos que o apache
> gasta hoje vezes o   
>   número de usuários em que ele rodará (serão
> processos separados)
>   apenas para ele ficar inativo.
> 
> Se esse tipo de restrição é para evitar que um
> usuário acesse algo que
> não deveria via mod_perl, esse é o menor dos seus
> problemas. mod_perl é
> poderoso de mais (IMO) para permitir que pessoas
> não-confiáveis ou sem a
> capacidade necessária acessem.
> 
> 
> abraços,
> 
> Raul Dias
> 
> 
> Em Qui, 2003-07-31 às 15:55, Luis Campos de Carvalho
> escreveu:
> > Gabriel Vieira wrote:
> > > Olá Alceu,
> > > 
> > > grato pela ajuda... porém o problema é que quero
> restringir o acesso a
> > > arquivos a uma determinada pasta entende?
> > > Exemplo: o login "teste" só poderá abrir
> arquivos que estiverem na pasta
> > > /home/www/teste/ utilizando o perl.
> > > open(FILE,"</home/www/teste/oi.htm");
> > > ou seja
> > > open(FILE,"</home/www/bla.htm");
> > > ele não conseguiria abrir via .pl.
> > > compreende?
> > > 
> > > Acho que estou sendo meio complicado :P
> > > 
> > 
> > 
> >    Olá, Gabriel.
> >    Infelizmente, sem alterar o interpretador perl,
> a única forma de 
> > conseguir isso que você deseja é usar a técnica de
> ChangeRoot Jail.
> > 
> >    Alguém da lista teria uma boa página com um
> tutorial de ChangeRoot 
> > Jail para enviar ao Gabriel?
> > 
> >    Desculpe o mau jeito, mas hoje as coisas estão
> corridas demais... =-]
> >    []'z!
> 
> > _______________________________________________
> Cascavel-pm mailing list
> Cascavel-pm em mail.pm.org
> http://cascavel.pm.org/mailman/listinfo/cascavel-pm
>  

_______________________________________________________________________
Conheça o novo Cadê? - Mais rápido, mais fácil e mais preciso.
Toda a web, 42 milhões de páginas brasileiras e nova busca por imagens!
http://www.cade.com.br



Mais detalhes sobre a lista de discussão Cascavel-pm