On 2012.08.16 at 13:08:22 +0300, alex kuklin wrote: > > > >Ну либо надо скрипты в chroot запускать, чтобы доступа к rw-копиям себя > >у них не было в принципе. А системный вызов chroot работает только от > >рута, да и cgi-environment переписывать придется. В общем - куча новых > >security implications. > Что только люди не делают, лишь бы posix acl не использовать.... И как поможет posix acl в данной ситуации? Когда одни процессы, выполняющиеся от имени того же юзера (cgi-скрипты) не должны иметь доступа к определенным файлам, а другие, выполняющиеся от того же юзера (ftpd, dav-сервер) - должны. Примечание: не забывайте что кроме этого юзера у нас есть еще десять тысяч других, и у всех есть ftp-доступ и скрипты.
Я тут как раз о том, что если завести двух пользователей, объединенных в группу, то стандартных юниксовых 9 бит permissions за глаза хватит. Единственная засада - вместо 10000 пользователей в системе нам придется держать 20000 и еще 10000 групп. (впрочем, 10000 групп у нас вероятно есть и так - из-за привычки современныхс систем по умолчанию создавать для каждого юзера персональную группу) -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
