[LatinaLUG] problemino.. apache & chroot jail

S4mu3l3 latina@lists.linux.it
Sat, 15 Dec 2001 16:55:13 +0100


Stefano Tagliaferri wrote:

>On Sat, 15 Dec 2001 00:06:59 +0100, S4mu3l3 wrote:
>
>|devo implementare tale metodo sul mio apache in modo da fornire
>|servizi di web hosting, ed evitare che gli script degli utenti vadano in 
>|giro
>|per l'hd :)
>
>xche' utilizzando apache?
>con apache gestisci l'hosting ed i nomi di dominio, con il server ftp puoi dare accesso 
>alla dir nella quale gli utenti devono mettere le pagine html.
>
no, non e' cosi, sarebbe bello ma non e' cosi semplice :)
per quanto riguarda bloccare l'utente FTP nella directory che contiene 
il suo sito, quello e' semplice
il problema reale e' bloccare gli script dell'utente nella directory del 
suo sito.
Prendiamo ad esempio php ( come ogni altro cgi / script lato server ) se 
il mio utente "Pippo"
scrive nella sua paginetta  <?php  system('il comando che mi pare') ?>
e magari un bel "cat /etc/passwd" allora si che siamo nei pasticci, le 
password non le ha, ma ha gia
molte info e cmq se vuole puo averne altre...
Per ora sto leggendo un interessante documento dalla attendibilissima fonte
www.securityfocus.com  
"Installing and Securing the Apache Webserver with SSL"
che spiega anche come implementare il metodo chroot,
il piccolo problemino e' solo che e' un po datato ma non troppo :)

>Ciao
>s.t.
>-----------------
>Mr. Ballmer says that Linux is Communist!
>Communism means that the government owns everything.....
>Which government owns Linux Mr. Ballmer?
>
Ciao
Samuele C.
----------------------------
there is no place like /home