frk
Новичок
"Конфиг сайта" && "пользователь с shell доступом"
Пароль для доступа к базе данных храню в файле, который расположен за пределами корня веб-сервера, допустим, в dir/configs/site.conf
В случае если пользователь имеет shell-доступ к серверу - он, в большинстве случаев, получает право на просмотр содержимого dir/configs/site.conf, и как результат - получает доступ к базе данных сайта, содержимое которой сможет просмотреть при желании,но это как минимум.......
права на site.conf для всех (owner, group,other) - только чтение,
т.е. r--r--r--
при изменении прав на:
owner: чтение
group: чтение
other:
т.е. r--r----
получаю ошибку:
Access denied for user: 'nobody@localhost' (Using password: NO)
т.е. желаемые логин и пароль в скрипт не инклуюятся, т.к. право на чтение site.conf у other отсутствует
Получается, что единственно правильным решением будет держать shell-users на одном сервере, а web-server - на другом - только для меня это роскошь к сожалению...
или делать chroot shell-юзверей...что не всегда приемлемо
.....возможно есть другие решения подобной задачи??!
хотелось бы узнать....какие методы используют люди в подобной ситуации?!
Пароль для доступа к базе данных храню в файле, который расположен за пределами корня веб-сервера, допустим, в dir/configs/site.conf
В случае если пользователь имеет shell-доступ к серверу - он, в большинстве случаев, получает право на просмотр содержимого dir/configs/site.conf, и как результат - получает доступ к базе данных сайта, содержимое которой сможет просмотреть при желании,но это как минимум.......
права на site.conf для всех (owner, group,other) - только чтение,
т.е. r--r--r--
при изменении прав на:
owner: чтение
group: чтение
other:
т.е. r--r----
получаю ошибку:
Access denied for user: 'nobody@localhost' (Using password: NO)
т.е. желаемые логин и пароль в скрипт не инклуюятся, т.к. право на чтение site.conf у other отсутствует
Получается, что единственно правильным решением будет держать shell-users на одном сервере, а web-server - на другом - только для меня это роскошь к сожалению...
или делать chroot shell-юзверей...что не всегда приемлемо
.....возможно есть другие решения подобной задачи??!
хотелось бы узнать....какие методы используют люди в подобной ситуации?!