safe_mode

[Линк]

все хотять(могут) пачить ядра, пускать апача от рута, юзать php as cgi и т.п

не все умеют unix и winnt
давайте же сделаем хостинг на win95

 

[Линк]

валуехост: 62.118.251.37 без safe mode
apache от root
а чем Вам не нравиться апаче от рута?

 

[Линк]

и на последок http://ru3.php.net/manual/en/features.safe-mode.functions.php

отключенные ф-ии в сейф мод
всем приятного, кастрированного программирования.

 

[si]

а чем Вам не нравиться апаче от рута?

возможностью remote root

не все умеют unix и winnt

если не занете решения не надо говорить ерунду.

 

[Линк]

возможностью remote root

патчи еще никто не отменял
конкретный пример ремот рута можно?

если не занете решения не надо говорить ерунду.

я сказал - рут




как мне отправить почту?
sendmail нельзя - за передалми safe exec dir
mail нельзя - In safe mode, the fifth parameter is disabled
только через tcp сокет (что не красиво)

как мне запустить внешнюдю программу?

как мне послать хедер? 404 например
header() disabled

 

[lucas]

Линк

как мне отправить почту?
...только через tcp сокет (что не красиво)

1. Что тут некрасивого?
2. Через что отправляет sendmail?

 

[si]

как мне отправить почту?
sendmail нельзя - за передалми safe exec dir

зачем вам напрямую sendmail ?

mail нельзя - In safe mode, the fifth parameter is disabled

mail работает, 5 параметер только отключен, а без него можно жить вполне.

как мне запустить внешнюдю программу?

незачем запускать что не поподя

как мне послать хедер? 404 например
header() disabled

откуда вы это взяли ?

конкретный пример ремот рута можно?

любая програма которая работает от рута опасна, тем более которая доступна удаленно и всем подрят

 

[si]

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-0392

для этой дыры был remote shell exploit.

в вашем случае это мог быть remote root.

Если мне память не изменяет, вначале разработчики незаметили возможность remote code execution на платформаж отличных от win, пока не появились exploit для OpenBSD и FreeBSD

 

[si]

патчи еще никто не отменял

обчно происходит так:
неизвестная дыра->взлом->известная дыра->пачь

за примерами далеко ходить не надо. Debian, Gento

 

[Линк]

mail работает, 5 параметер только отключен, а без него можно жить вполне.
зачем вам напрямую sendmail

хедеры как менять? From? attachment?

незачем запускать что не поподя

WM например
прогер не должен зависеть от домыслов админа

откуда вы это взяли ?

из мана://

kюбая програма которая работает от рута опасна, тем более которая доступна удаленно и все подрят

я просил пример а не теории
в теории и протокол ftp опасен

 

[Линк]

Debain на сервер????????????

 

[si]

хедеры как менять? From? attachment?

safe_mode тут ничего не запрещает.

из мана://

не вижу чтобы там было написано что header disabled

в теории и протокол ftp опасен

и на практике тоже, например wu-ftpd, proftpd

Debain на сервер

сэр наверно фанат FreeBSD.

давно пора понять то что линукс что фрее более менее равнозначные системы, чтото лучше умеет делать ода, чтото другая.

 

[Линк]

safe_mode тут ничего не запрещает.

точно
хедеры - 4й параметр
извините!!!

и на практике тоже, например wu-ftpd, proftpd

так давайте откажемся от ftp

сэр наверно фанат FreeBSD.

линух не тока debain, господин админ)

that is all! smells like flame!

 

[fixxxer]

Я все же горю желанием услышать ответ на свой вопрос. Офтопом отмазываться не надо. Показывать примеры "а у них без safe mode работает" - тоже не надо, у меня самого работает.

Просто если делаешь заявления - аргументируй и выноси предложения.

Меня, например, несколько напрягает постоянно патчить Apache и ядро FreeBSD, вот я и думаю, раз ты так уверенно говоришь о отсутствии нужды в safe mode, ты наверняка знаешь, как это настроить - так поделись, облегчи мою работу.

 

[Линк]

не знаю, fixxer
я делал как написано на http://php4you.kiev.ua/docs/dk/apache_hack.html

кроме патчей - я больше не знаю как
ну еще можно cgi / suexec
но ето еще хуже чем сейф-мод))))

 

[fixxxer]

Ну да, я по сути такой же способ использую, детали непринципиальны

Но это не "штатное" использование Apache...

Если не лезть в исходники Апача, все же единственное решение - safe mode.

 

[fixxxer]

А вот еще такая мне мысль в голову пришла.

В Apache 2 есть MPM-модуль prefork.
Если собирать Apache2 в модели prefork, он по сути работает как первый апач - треды не используются.
В то же время, "The User and Group directives are used to set the privileges of the Apache child processes." (c) мануал по mod_prefork.

Проблемы с "экспериментальностью" mod_php в связке с Apache2, как известно, связаны именно с тредами...

Так что - несмотря на дурную славу связки Apache2+mod_php - почему бы и нет. По сути получаем тот же 1-й апач с вышеупомянутым патчем.

 

[Линк]

тоже вариант)) просто переходить на второй пока стремно) молодой он слишком. вообще IIS вон пашет от имени системы, и никого ето не смущает))