Особые права на файлы: запрет чтения собственных файлов

← →
Дмитрий С © (2011-07-22 22:39) [0]

Дано: служба Apache+PHP (модулем), работает от имени пользователя web-service.
Необходимо запретить этой службе читать файлы с расширением php и создателем/владельцем web-service.
Нужно, чтобы загруженный через какую либо уязвимость php файл на сервер все-равно им не мог выполнится.

← →
DVM © (2011-07-22 22:50) [1]

> Необходимо запретить этой службе читать файлы с расширением
> php и создателем/владельцем web-service.

запретить владельцу читать собственные файлы, которые он и создает? ерунда какая то выходит, тебе не кажется? ты лучше запрети web-service лезть куда либо кроме отведенного ей каталога и будет тебе счастье.

← →
Омлет © (2011-07-22 23:14) [2]

Options -ExecCGI -Indexes RemoveType .php .cgi .pl .php3 .php4 .php5 .phtml RemoveHandler .php .cgi .pl .php3 .php4 .php5 .phtml <Files ~ "\.(php|php3|php4|php5|phtml|pl|cgi)$"> order deny,allow deny from all </Files>

И обрезать все права, какие можно пользователю web-service.

← →
DVM © (2011-07-22 23:16) [3]

> Омлет © (22.07.11 23:14) [2]

а зачем тогда вообще php отключить его и все.

← →
Омлет © (2011-07-22 23:31) [4]

А кто сказал, что это должен быть глобальный конфиг?

Прислушаюсь к совету.
Не дам прав вебсерверу на изменение в папках с сайтами. А для тех папок, в которых дам права, уберу возможность выполнять скрипты и использовать htaccess.
Как я сразу не подумал. Спасибо всем:)

P.S. На всякий случай поясню еще раз. Мне надо сделать так, чтобы закачанный при помощи apache какой-либо php cкрипт не выполнялся. Т.е. избежать последствий при закачке левых скриптов хакерами.
Те скрипты, что закачены при помощи FTP или нетбиосовых шар выполнятся должны.

Особые права на файлы: запрет чтения собственных файлов Найти похожие ветки