Безопасность apache

[SMiX]

Понимаю, вопрос новичка, но, думаю, что раздел для этой темы подходящий.
Столкнулся со следующей проблемой. Используя средства php/perl пользователи смотреть файлы других юзеров сервера не могут. Равно как и получать листинги их каталогов. Но это обходится выполнением системных команд функциями system, exec и т.п. в пхп. Можно запретить эти функции в php, но такое решение считаю грубым, и, думаю, есть более подходящее и грамотное.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[manefesto]

как ты думаешь от имени кого работает apache ?

[SMiX]

www

[manefesto]

Код: Выделить всё

last pid:  7613;  load averages:  0.00,  0.00,  0.00    up 1+22:46:52  14:12:07
30 processes:  1 running, 29 sleeping
CPU states:  0.0% user,  0.0% nice,  0.0% system,  0.4% interrupt, 99.6% idle
Mem: 15M Active, 145M Inact, 79M Wired, 60M Buf, 251M Free
Swap: 1024M Total, 1024M Free

  PID USERNAME   THR PRI NICE   SIZE    RES STATE    TIME   WCPU COMMAND
  524 root         1  96    0 14456K 10016K select   0:03  0.00% httpd

Я вот только понять не могу...зачем тебе получать список файлов то ?
Посади апач в jail.

[SMiX]

Код: Выделить всё

96010 www                1  20    0   144M 20192K lockf    1:56  0.20% httpd
  783 mysql             15  20    0 56732K 38536K kserel  58:56  0.00% mysqld
96023 www                1   8    0   146M 22216K nanslp   8:04  0.00% httpd
14429 www                1  20    0   144M 20512K lockf    3:16  0.00% httpd
14837 www                1  20    0   146M 22688K lockf    3:14  0.00% httpd
14431 www                1  20    0   144M 20436K lockf    3:13  0.00% httpd
14439 www                1  20    0   144M 20212K lockf    3:13  0.00% httpd
14840 www                1  20    0   144M 20704K lockf    3:08  0.00% httpd

[SMiX]

Я вот только понять не могу...зачем тебе получать список файлов то ?
Посади апач в jail.

Мне-то получать не надо. И файлы других юзеров читать тоже. А вот злоумышленникам очень пригодится такая возможность )
jail - единственный выход?

[manefesto]

запускай апач от имени юзера nobody.
Сади апач в клетку и всё.

[SMiX]

Поставил user/group nobody, апач выдает 500 ошибку, причем в лог ничего о ней не сообщает...

[SMiX]

Уточнение, надо запретить читать файлы не просто других пользователей системы, а других виртуальных хостингов, поэтому jail в решении данной проблемы не поможет...

[serge]

Правильно выставить права на доступ к каталогам пользователей. В крайнем случае каталоги только будут видны, но доступа в них не будет.
А вообще запрет системных функция php хотя и грубая защита, но зачастую вполне оправданная (особенно на публичных хостингах).

[manefesto]

acl ?

[Alex Keda]

acl ?

замедлит работу файловой системы.
сильно завсиит от наргузки на сервер. при больших - я бы не рекомендовал...

[ProFTP]

а как посмотреть файлы другого юзера если апач работает и права на файлы стоят для конкретного юзера и есть его собсвенная група, и опции в sysctl.conf которы запрещают просматр процессов и.д. ??

на ходу придумал: если /usr/local/bin /usr/bin и для других каталогов поставить права для конкретной групы и в эту групу root и тех пользовтелей котоырм мы доверяем, а для остальных закрыть.... можно так?

ЗЫ а как закрыть функцию система в perl?

[ProFTP]

umask 027 в профиле и apache достаточно?