[Cascavel-pm] Restringir_acesso_de_leitura_à_pasta_do_usuário
Raul Dias
raul em dias.com.br
Sexta Agosto 1 09:53:07 CDT 2003
Em Sex, 2003-08-01 às 11:32, Luis Campos de Carvalho escreveu:
> Raul Dias wrote:
> > Oi,
>
> Olá, Raul.
> Benvindo! =-]
>
Obrigado :)
> > mod_perl é uma extensão do apache em que se coloca o interpretador perl
> > inteiro dentro do apache em que ele exporta _toda_ a API do apache em
> > Perl. Programas/scripts rodando com mod_perl não são um processo
> > separado, mas fazem parte do mesmo processo do apache (pelo menos do
> > Child em que foi chamado). Btw, por isso chroot não faz sentido nesse
> > caso a não ser que se tenha vários apaches em portas diferentes.
> >
>
> Foi o que eu quis dizer. Cada usuário terá acesso a uma instancia
> separada do Apache + Mod_Perl, que vai rodar "enjaulado" via chroot().
Ok, mas nesse caso cada instância terá de fazer bind a portas e/ou ips
diferentes.
> > Como conseqüência, qualquer script rodando sob mod_perl será o usuário
> > do apache (www, web, nobody, ...). Por isso não haveria como restringir
> > sem patchs profundos no perl, mod_perl e apache.
> Não necessariamente. Podemos disparar o apache como root e solicitar
> mudança para um UID/GID diferente para cada usuario, utilizando
> configurações diferenciadas para o Apache. Claro, mais trabalho...
>
AFAIK, sem modificar o apache, o máximo que ele faz é iniciar como root,
bind na porta 80 e/ou outras, liberação de privilégios para o usuário
final (www, nobody). Eu desconheço a possibilidade dele se manter como
root na porta 80 e fazer mudança de usuário baseado na requisição.
Por favor, me corrija se eu estiver errado.
[]'s
Raul Dias
Mais detalhes sobre a lista de discussão Cascavel-pm