Apache - poprawki

[Konrad Stepien]

On Mon, 28 Sep 1998, Tomasz Kłoczko wrote:

> On Mon, 28 Sep 1998, Konrad Stepien wrote:
> 
> > Wrzuciłem poprawionego apache na cenzora.
> > Poprawiłem atrybuty plików w /usr/bin i zmieniłem usera na httpd
> > (a może zrobić http bez "d").
> > I przy okazji tego pytanko, czy konfigom też zmienić prawa na http(d)
> > Można by zrobić prawa 664 i dopisywać uzerów do grupy http(d) coby
> > mogli w konfigach dłubać.
> > Na razie zmieniłem prawa tylko dla /home/httpd
> 
> OK. Przejrzę to jeszcze co zrobiłęś. Ja mam tylko takie pytanie czy
> ptrzypadkiem w samym httpd.conf nie można użyć jakiegoś taga, który by
> zrobił include. Wtedy może możnaby zrobić dołączanie wszystkich plików z
> katalogu zawierającego opisy np. wirtualaek. Powinno się to jakoś dać
> zrobić przez moduł perlowy (na pewno) ale pytanie czy bez tego też jest to
> jakoś osiągalne ?
> 
Apache obsługuje include, inaczej bym zwariował. Mam klienta który ma
coś z 20 virtuali, to se siedzi w osobnym pliku. W zasadzie, to chyba
tak zrobię, taki pusty template z virtulami includowany do głównego.
Składnia normalna: "Include /etc/httpd/conf/konfig"
BTW bind 8 też ma include, i też z tego korzystam.

Koncepcję praw 664 i grupy httpd dla konfigów, po chwili namysłu
uważem za taką sobie, w końcu to jest UID/GID z jakim chodzą CGI,
więc nie powinny mieć możliwości za dużo zrobić. W zasadzie praw
do /home/httpd też nie powinny mieć. W wypadku dziury w CGI można
by sobie ładnie backdoory pozakładac, zmienić stronę itp.
Można za to zrobić /var/httpd z prawami zapisu dla httpd, coby
sobie różne skrypty tam coś trzymały.
Tak w ogóle to ten apache jest kompilowany z su-execiem. Pomijając fakt,
że to kolejny suid w systemie, myślę że tak powinno zostać.

PS. PLD-security chyba nie działa. Przedwczoraj wysłałem tam post
(o imapie) i nic.

-- 
Konrad Stępień          | InterData s.c. http://www.interdata.com.pl
konrad w interdata.com.pl | Łódź al. Kościuszki 3 tel +48+42 639-81-71