Chmod и безопастность - как правильно расставить права достпу к файлам и каталогам

[webdeveloper]

Chmod и безопастность - как правильно расставить права достпу к файлам и каталогам

Дано:

Мы обычном хостинге и доступа к server user management consol у нас нет (иными словами мы не root)
Есть набор РНР файлов, которые находятся в


/user_dir/public_html


Есть файл inc_config.php который находится там же. Каждый РНР файл имеет в самом начале такое выражение

require_once("./inc_config.php");

Требуется: написать модуль который бы позволял редактировать inc_config.php через браузер. ( тоесть читать и писать в этот файл)

Внимание вопрос: Если ставим chmod 666 inc_config.php то тогда можно и читать и писать в это файл. Но в тоже время любой кто находится на этом же сервере автоматом может сделать тоже самое. Если забрать permissions у public и group то тогда не работает редактирование.

Есть какие то идеи как это можно обойти?

 

[BigDaddy]

Ставь 600 этому файлу. Тогда читать и писать в него сможет только апач. Ну и рут, конечно.
При этом файл бы должен и создаваться апачем (раз нету доступа к консоли)

 

[BigDaddy]

Другими словами чтобы при chmod 600 работало веб редактирование надо чтобы апач (юзер, под которым работает апач) был овнером файла

 

[webdeveloper]

Автор оригинала: BigDaddy
Другими словами чтобы при chmod 600 работало веб редактирование надо чтобы апач (юзер, под которым работает апач) был овнером файла

Apache runs as nobody/nobody так что такой2 вариант не подходит. Поменять это тоже нельзя. Хостинг не на домашней машине а у хостера.

 

[SeazoN]

1
open_basedir + safe_mode + shell не давать как вариант.

2
Написать cgi - ку редактирующую файл рутом(кемто ещё крутым), проставлять права 744 и слёзно молить
хостера это дело принять.

 

[webdeveloper]

я так понимаю, что если хочешь чего то там редактировать и куда то чегото писать то автоматически получаешь дыру в безопасности ( в условиях public shared hosting)

з.ы.
кстати эта же проблема получается и если разрешить хранение картинок на диске. всегда найдется хитрая задница которая будет в каталог с картинками писать какую то хрень.

 

[Barlone]

Re: Chmod и безопастность - как правильно расставить права достпу к файлам и каталогам

Автор оригинала: webdeveloper
Внимание вопрос: Если ставим chmod 666 inc_config.php то тогда можно и читать и писать в это файл. Но в тоже время любой кто находится на этом же сервере автоматом может сделать тоже самое. Если забрать permissions у public и group то тогда не работает редактирование.

Это что же, любой на этом хостинге может читать твой каталог (/user_dir/) ? Это само по себе огромная дыра. Что же это за хостинг такой х....вый ?

 

[webdeveloper]

Re: Re: Chmod и безопастность - как правильно расставить права достпу к файлам и каталогам

Автор оригинала: Barlone
Это что же, любой на этом хостинге может читать твой каталог (/user_dir/) ? Это само по себе огромная дыра. Что же это за хостинг такой х....вый ?

Ну если у тебя есть право на доступ в каталог по chmod 666 то тогда все кто хостится на этом же сервере могут тебе туда писать.

(Я не про /home/user_dir а про /home/user_dir/public_html)

 

[AnToXa]

Ну если у тебя есть право на доступ в каталог по chmod 666 то тогда все кто хостится на этом же сервере могут тебе туда писать.

через шелл да.
но.
1. они не могут смотреть листинг каталога
2. они не могут ничего открыть, если на каком-либо каталоге выше нету x бита, т.е - только писать.
обычно все хостинг юзеры помещаются в одну группу и на каталоги юзеров ставится 70(сколько не жалко - я бы поставил 1)

через пхп все решается через open_basedir