[Cascavel-pm] Restringir_acesso_de_leitura_à_pasta_do_usuário

[Raul Dias]

Em Sex, 2003-08-01 às 11:32, Luis Campos de Carvalho escreveu:
> Raul Dias wrote:
> > Oi,
> 
>    Olá, Raul.
>    Benvindo! =-]
> 
Obrigado :)

> > mod_perl é uma extensão do apache em que se coloca o interpretador perl
> > inteiro dentro do apache em que ele exporta _toda_ a API do apache em
> > Perl.  Programas/scripts rodando com mod_perl não são um processo
> > separado, mas fazem parte do mesmo processo do apache (pelo menos do
> > Child em que foi chamado).  Btw, por isso chroot não faz sentido nesse
> > caso a não ser que se tenha vários apaches em portas diferentes.
> > 
> 
>    Foi o que eu quis dizer. Cada usuário terá acesso a uma instancia 
> separada do Apache + Mod_Perl, que vai rodar "enjaulado" via chroot().

Ok, mas nesse caso cada instância terá de fazer bind a portas e/ou ips
diferentes.


> > Como conseqüência, qualquer script rodando sob mod_perl será o usuário
> > do apache (www, web, nobody, ...).  Por isso não haveria como restringir
> > sem patchs profundos no perl, mod_perl e apache.

>    Não necessariamente. Podemos disparar o apache como root e solicitar 
> mudança para um UID/GID diferente para cada usuario, utilizando 
> configurações diferenciadas para o Apache. Claro, mais trabalho...
> 
AFAIK, sem modificar o apache, o máximo que ele faz é iniciar como root,
bind na porta 80 e/ou outras, liberação de privilégios para o usuário
final (www, nobody).  Eu desconheço a possibilidade dele se manter como
root na porta 80 e fazer mudança de usuário baseado na requisição.
Por favor, me corrija se eu estiver errado.


[]'s
Raul Dias