php

[Jakub Bogusz]

On Wed, Feb 27, 2002 at 07:39:06PM +0100, Jakub Bogusz wrote:
> On Wed, Feb 27, 2002 at 06:05:33PM +0100, Witek Kręcicki wrote:
> > Z tym session.save_path to caly problem a mianowicie:
> > Plik jest tworzony (nareszcie) z uwzglednieniem uzytkownika w formacie:
> > {session.save_path}/session_mm_{metoda}{UID}.sem
> > Gdzie metoda to apache/cgi etc., UID wiadomo co...
> > Niby wszystko dobrze ale jezeli uzytkownik A zrobi chamstwo uzytkownikowi B
> > (o UID 400) w stylu touch /tmp/session_mm_cgi400.sem to tamtemu sie nie uda
> > uruchomic php w cl.
> > Probowalem w configu wstawic $HOME lub ~ jako session.save_path, nie dziala.
> > Albo jest jakies rozwiazanie albo trzeba patchowac.
> 
> Hm... :|
> Ale i tak jest lepiej niż było, bo da się skonfigurować bez łatania.

Po przyjrzeniu to jest tak:
php.ini ma 600 root.root, czyli jeżeli tam coś ustawimy, to nie będzie
brane pod uwagę przy uruchomieniu z cl nie z roota.
(swoją drogą to trochę brzydko - ten plik należy do php-common, które
miało być nie tylko dla mod_php...)

Z użytkownika można podać alternatywne php.ini przez -c (niestety
katalog zawierający php.ini, a nie samą nazwę pliku; poza tym zawsze
php.ini szuka w bieżącym katalogu).
Niby opcją -d session.save_path=~/tmp można zmienić to ustawienie z cl,
ale na semafor to nie działa (jest tworzony po obsłużeniu -c, ale przed
-d).

IMO domyślnie w php.ini nie powinno być /tmp - można zrobić /var/run/php
730 root.http i tam ustawić domyślne save_path; mam jeszcze wątpliwości
co do tej grupy (bo co ma php-common do http? poza tym po odinstalowaniu
apache grupa http zniknie[1]).

[1] hm... to też jest brzydkie, bo w /etc/group z setup już jest grupa
http, w %pre apache ta grupa jest dodawana jeśli nie istnieje (OK, nie
przeszkadza), ale %postun apache jest usuwana...


-- 
Jakub Bogusz    http://prioris.mini.pw.edu.pl/~qboosh/