| |
|
|
| | Очень плохо, что РНР работает совершенно со всеми директориями компа (если Windows) Например можно спокойно открывать директории системного диска C, а при желпании и удалить что-нибудь. Вот как запретить РНР например работать с диском С. В параметрах безопасности есть такая группа SYSTEM, если поставить ей ограничение на папку, то ПХП с ней работать не сможет, как и другие программы, но это не дело, поэтому и задаю этот вопрос - как запретить пхп работать с определенными каталогами | |
| |
|
|
| |
|
|
| |
для: Agronom
(27.12.2005 в 16:40)
| | | а у вас сервер под win работает? для чего, если не секрет? | |
| |
|
|
| |
|
|
| |
для: Loki
(27.12.2005 в 16:50)
| | | Немного отходим от темы, ну так и быть.
До Linux'a я пока не дорос, поэтому приходится пользоваться Windows'ом. Я держу этот свой сервер в локальной сети, так, ради спортивного интереса, ну и соответственно даю друзьям доступ для их сайтов. Конечно этим людям я доверяю, но все может быть. Так же эа этим компом работают все члены моей семьи и ставить Linux довольно опасно. Поэтому и хочется затянуть гайки. | |
| |
|
|
| |
|
|
| |
для: Agronom
(27.12.2005 в 17:32)
| | | На Linux это на раз два делается помещением PHP и всех причиндалов в chroot - под Windows вероятно следует запускать apache из под пользователя, который не будет иметь прав на доступ к другим дискам... | |
| |
|
|
| |
|
|
| |
для: cheops
(27.12.2005 в 23:09)
| | | А как это сделать если сама система запускается под Администратором?
У нас же есть группа SYSTEM, может как-нибудь можно создать на подобии, но только для интерпритатора? | |
| |
|
|
| |
|
|
| |
для: Agronom
(28.12.2005 в 12:27)
| | | В настройках Апача, есть конкретные пункты на этот счет. Ставишь их и кроме как в своей собственной директории ничего PHP не сможет сделать хоть в винде, хоть под Linuxom.
Порой описание защита и выполнение, найдешь быстро. | |
| |
|
|
| |
|
|
| |
для: XPraptor
(28.12.2005 в 12:32)
| | | Разве?
Я решил сделать так:
1) Создал пользователя с ограниченными правами.
2) В службах службе Apache2 задал вход в систему от данного пользователя.
3) поставил огранчение везде где надо. | |
| |
|
|
| |
|
|
| |
для: Agronom
(28.12.2005 в 14:17)
| | | Тоже вариант. Так ты ограничишь всех правами и никто не сможет ничего сделать.
Единственное остается надежно защитить свою админовскую запись. | |
| |
|
|
| |
|
|
| |
для: XPraptor
(28.12.2005 в 12:32)
| | | Мдя... ничего с моей защитой не вышло... в лучшем случае я поставил запред на определенные каталоги, которые совершенно никакого отношение к апачу не имеют, а вот например DocumentRoot "D:/Agro-serv/www" да и каталог где сам установлен апач... Если я блочу какую нибудь папку,например Agro-serv, то следовательно сервер выдает ошибку, поэтому приходится разрешать как минимум чтение, а это уже не то, т.к. можно будет узнать весь путь полностью, а следовательно добраться до каталога сайта, перекопировать файлы, удалить изменить... да еще можно также добраться до папки с самим апачем, прочитать .conf а также С:/WINDOWS/php.ini , т.к. ему пришлось все-таки разрешить чтение, таким образом можно узнать все о Web сервере.
Ну вот :( Чего я добился? да ничего, может теперь систему и личные документы мне не удалят, а вот Web запросто.
XPraptor, вы говорили, что "В настройках Апача, есть конкретные пункты на этот счет." Подскажите пожалуйста где и можно ли там поставить ограничения на несколько директорий? | |
| |
|
|
| |
|
|
| |
для: Agronom
(29.12.2005 в 16:04)
| | | Ух разобрался!!
Если кому-то придет в голову реализовать хостинги на Win 32 c ограниченными правами, то это делается так:
Если у вас все хосты одинаковые, например D:/host/name_user/www/ то в апаче просто добавляем запись:
<Directory E:/host/*/www>
php_admin_value open_basedir .
</Directory>
|
так же можно использовать содержимое контента для виртуальных хостов. | |
| |
|
|
