<![CDATA[Комментарии к публикации «И снова о… LAMP и базово защищённый мини-хостинг своими руками»]]>

<![CDATA[Комментарии к публикации «И снова о… LAMP и базово защищённый мини-хостинг своими руками»]]> https://habr.com/ru/articles/166375/ ru editor@habr.com habr.com Fri, 24 Apr 2026 17:55:33 GMT https://habr.com/ru/ https://habrastorage.org/webt/ym/el/wk/ymelwk3zy1gawz4nkejl_-ammtc.png Хабр 10.02.2013 13:59:34 ekungurov https://habr.com/ru/articles/166375/#comment_5851193 https://habr.com/ru/articles/166375/#comment_5851193 Меня всегда интересовал вопрос — а нет ли где-нибудь на официальных ресурсах полного списка с описанием всех PHP функций, которые так или иначе могут дать доступ скрипту к компонентам и файлам системы.Нет такого списка. Искал я как-то список функций, которые могут выполнить внешнюю программу, так даже и этого не нашлось. Есть вот такой перечень, и он не полный — там не хватает, как минимум, popen и pcntl_exec. А в твоем списке отсутствует самый обычный exec.]]> Sun, 10 Feb 2013 13:59:34 GMT 10.02.2013 13:33:04 ekungurov https://habr.com/ru/articles/166375/#comment_5851131 https://habr.com/ru/articles/166375/#comment_5851131 Sun, 10 Feb 2013 13:33:04 GMT 10.02.2013 13:31:41 ekungurov https://habr.com/ru/articles/166375/#comment_5851129 https://habr.com/ru/articles/166375/#comment_5851129 С itk меня всегда интересовал один вопрос: если запускать php от имени пользвоателя, которому принадлежит сайт, то php будет иметь права на запись во все файлы сайта. Что хреновенько.С точки зрения модели безопасности — всё нормально. Да, сайт пользователя могут поломать, зато другие пользователи гарантированно не пострадают. Кстати говоря, битовую маску доступа можно и через ftp/sftp менять. Только вряд ли кто-нибудь из пользователей «шареда» будет заморачиваться.

Получается, что для каждого сайта нужно создавать два пользователя

Можно и одним пользователем обойтись. Сконфигурять mpm_itk для сайта так:
AssignUserId www-data usergroup
При этом EUID www-data доступа к файлам пользователя не дает вообще никакого. Поэтому можно разрешать/запрещать доступ исключительно правами группы. Только 99% пользователей этим заниматься не будет, даже если подробную инструкцию написать.]]> Sun, 10 Feb 2013 13:31:41 GMT 27.01.2013 02:19:43 skobkin https://habr.com/ru/articles/166375/#comment_5779885 https://habr.com/ru/articles/166375/#comment_5779885 Интересно, почему в посте именно /bin/false, с которым sftp не работает?]]> Sun, 27 Jan 2013 02:19:43 GMT 25.01.2013 03:10:48 VolCh https://habr.com/ru/articles/166375/#comment_5770561 https://habr.com/ru/articles/166375/#comment_5770561 Fri, 25 Jan 2013 03:10:48 GMT 25.01.2013 01:19:46 Twost https://habr.com/ru/articles/166375/#comment_5770469 https://habr.com/ru/articles/166375/#comment_5770469 Я даже смайлик поставил в конце предыдущего сообщения.]]> Fri, 25 Jan 2013 01:19:46 GMT 24.01.2013 21:51:18 Serator https://habr.com/ru/articles/166375/#comment_5770239 https://habr.com/ru/articles/166375/#comment_5770239 Thu, 24 Jan 2013 21:51:18 GMT 24.01.2013 16:37:34 tamaki https://habr.com/ru/articles/166375/#comment_5768841 https://habr.com/ru/articles/166375/#comment_5768841 Thu, 24 Jan 2013 16:37:34 GMT 23.01.2013 23:27:37 erdees https://habr.com/ru/articles/166375/#comment_5764907 https://habr.com/ru/articles/166375/#comment_5764907 Wed, 23 Jan 2013 23:27:37 GMT 23.01.2013 23:03:33 Malamut https://habr.com/ru/articles/166375/#comment_5764877 https://habr.com/ru/articles/166375/#comment_5764877 Wed, 23 Jan 2013 23:03:33 GMT 23.01.2013 23:03:30 Djamah https://habr.com/ru/articles/166375/#comment_5764875 https://habr.com/ru/articles/166375/#comment_5764875 Все, понял, спасибо огромное.]]> Wed, 23 Jan 2013 23:03:30 GMT 23.01.2013 23:02:18 Malamut https://habr.com/ru/articles/166375/#comment_5764873 https://habr.com/ru/articles/166375/#comment_5764873 Wed, 23 Jan 2013 23:02:18 GMT 23.01.2013 22:57:56 Malamut https://habr.com/ru/articles/166375/#comment_5764865 https://habr.com/ru/articles/166375/#comment_5764865 Wed, 23 Jan 2013 22:57:56 GMT 23.01.2013 22:49:04 Djamah https://habr.com/ru/articles/166375/#comment_5764855 https://habr.com/ru/articles/166375/#comment_5764855 Wed, 23 Jan 2013 22:49:04 GMT 23.01.2013 22:41:34 Malamut https://habr.com/ru/articles/166375/#comment_5764833 https://habr.com/ru/articles/166375/#comment_5764833 два пользователя — один для входа по (S)FTP, другой для апача, ну и одну группу. Я так и делал, когда использвоал itk. Но может я чего-то не догоняю?]]> Wed, 23 Jan 2013 22:41:34 GMT 23.01.2013 22:38:00 Malamut https://habr.com/ru/articles/166375/#comment_5764823 https://habr.com/ru/articles/166375/#comment_5764823 Wed, 23 Jan 2013 22:38:00 GMT 23.01.2013 22:37:08 Djamah https://habr.com/ru/articles/166375/#comment_5764821 https://habr.com/ru/articles/166375/#comment_5764821 fatal: bad ownership or modes for chroot directory component "/var/www/dir_name/"
Что я сделал не так? Буду очень благодарен.]]> Wed, 23 Jan 2013 22:37:08 GMT 23.01.2013 21:59:48 negodnik https://habr.com/ru/articles/166375/#comment_5764739 https://habr.com/ru/articles/166375/#comment_5764739
Вот это странно, на мой взгляд.]]> Wed, 23 Jan 2013 21:59:48 GMT 23.01.2013 21:39:09 Malamut https://habr.com/ru/articles/166375/#comment_5764683 https://habr.com/ru/articles/166375/#comment_5764683 Wed, 23 Jan 2013 21:39:09 GMT 23.01.2013 20:14:41 saintfr3ak https://habr.com/ru/articles/166375/#comment_5764441 https://habr.com/ru/articles/166375/#comment_5764441
Вот мне собственно интересно, он влияет на защищенность самого веб-сервера или только оси?

Кстати, большое спасибо за статью и отдельное спасибо за комментарии в коде, очень познавательно. ]]> Wed, 23 Jan 2013 20:14:41 GMT 23.01.2013 17:46:09 radist2s https://habr.com/ru/articles/166375/#comment_5763811 https://habr.com/ru/articles/166375/#comment_5763811 Wed, 23 Jan 2013 17:46:09 GMT 23.01.2013 17:11:44 VolCh https://habr.com/ru/articles/166375/#comment_5763673 https://habr.com/ru/articles/166375/#comment_5763673 Wed, 23 Jan 2013 17:11:44 GMT 23.01.2013 17:04:44 Eklykti https://habr.com/ru/articles/166375/#comment_5763645 https://habr.com/ru/articles/166375/#comment_5763645
$ aptitude show apache2-mpm-itk/stable
Пакет: apache2-mpm-itk
Новый: да
Состояние: не установлен
Версия: 2.2.16-6+squeeze10
Приоритет: дополнительный
Раздел: net
… blablabla

В каком месте он нестандартный? Ах да, надо же при установке всего этого дела написать на целых 16 символов больше! Выпилить немедленно!]]> Wed, 23 Jan 2013 17:04:44 GMT 23.01.2013 17:00:48 Eklykti https://habr.com/ru/articles/166375/#comment_5763629 https://habr.com/ru/articles/166375/#comment_5763629
Да хотя бы и апач с mpm_itk]]> Wed, 23 Jan 2013 17:00:48 GMT 23.01.2013 13:46:20 Twost https://habr.com/ru/articles/166375/#comment_5762607 https://habr.com/ru/articles/166375/#comment_5762607 Может быть для безопасности, о которой Вы пытались рассказать?]]> Wed, 23 Jan 2013 13:46:20 GMT 23.01.2013 13:37:07 dmchmk https://habr.com/ru/articles/166375/#comment_5762553 https://habr.com/ru/articles/166375/#comment_5762553
единственная особенность /tmp — это то, что он после перезагрузки сервера очищается. И там не принято давать возможность не исполнение, т.к. директория доступна всем подряд на запись.

Но это никак не значит, что там нельзя нормально разграничить права на файлы.

В общем, ваша фраза «мягко говоря некомпетентность тех, кто их тиражирует в интернете.» вызывает всё большую и большую улыбку.]]> Wed, 23 Jan 2013 13:37:07 GMT 23.01.2013 13:28:29 Malamut https://habr.com/ru/articles/166375/#comment_5762495 https://habr.com/ru/articles/166375/#comment_5762495 Wed, 23 Jan 2013 13:28:29 GMT 23.01.2013 12:44:22 dmchmk https://habr.com/ru/articles/166375/#comment_5762249 https://habr.com/ru/articles/166375/#comment_5762249
Может тогда уж для каждого пользователя отдельный SSH-демон заводить?:) Что уж капитальная секурность?:)]]> Wed, 23 Jan 2013 12:44:22 GMT 23.01.2013 12:43:33 dmchmk https://habr.com/ru/articles/166375/#comment_5762243 https://habr.com/ru/articles/166375/#comment_5762243 Wed, 23 Jan 2013 12:43:33 GMT 23.01.2013 11:58:47 Xergin https://habr.com/ru/articles/166375/#comment_5761927 https://habr.com/ru/articles/166375/#comment_5761927 Wed, 23 Jan 2013 11:58:47 GMT 23.01.2013 11:25:38 unwrecker https://habr.com/ru/articles/166375/#comment_5761723 https://habr.com/ru/articles/166375/#comment_5761723 Wed, 23 Jan 2013 11:25:38 GMT 23.01.2013 10:10:45 Malamut https://habr.com/ru/articles/166375/#comment_5761153 https://habr.com/ru/articles/166375/#comment_5761153 Wed, 23 Jan 2013 10:10:45 GMT 23.01.2013 10:05:08 VolCh https://habr.com/ru/articles/166375/#comment_5761091 https://habr.com/ru/articles/166375/#comment_5761091 Wed, 23 Jan 2013 10:05:08 GMT 23.01.2013 09:35:49 ivlis https://habr.com/ru/articles/166375/#comment_5760885 https://habr.com/ru/articles/166375/#comment_5760885 Wed, 23 Jan 2013 09:35:49 GMT 23.01.2013 09:32:55 Malamut https://habr.com/ru/articles/166375/#comment_5760871 https://habr.com/ru/articles/166375/#comment_5760871 Wed, 23 Jan 2013 09:32:55 GMT 23.01.2013 09:28:16 dmchmk https://habr.com/ru/articles/166375/#comment_5760843 https://habr.com/ru/articles/166375/#comment_5760843
Плюс, SFTP поддерживают не все клиенты. В общем, я не говорю, что так менее безопасно. Как я выше уже написал — это просто экстравагантное решение.

>> temp перемещён не бессмысленно, а туда, где он уже есть у многих движков.
а у многих движков нет. Уж лучше какой-то стандартизации придерживаться и держать такие вещи в районе /tmp. А не городить очередной велосипед, за который админы, которым впоследствии, возможно, придётся это админить, будут костерить создателя по самое не балуйся.]]> Wed, 23 Jan 2013 09:28:16 GMT 23.01.2013 09:12:14 Malamut https://habr.com/ru/articles/166375/#comment_5760697 https://habr.com/ru/articles/166375/#comment_5760697
temp перемещён не бессмысленно, а туда, где он уже есть у многих движков. Опять же — ничего суперкритичного в этом нет, спрятав temp вне корня сайта вы не закроете к нему доступ злоумышленников в случае взлома.]]> Wed, 23 Jan 2013 09:12:14 GMT 23.01.2013 09:03:27 dmchmk https://habr.com/ru/articles/166375/#comment_5760637 https://habr.com/ru/articles/166375/#comment_5760637
Где безопасность то? SFTP — это не безопасность. Это просто довольно экстравагантное решение в стандартной ситуации. SSH вообще на шареде давать нельзя.

Как к безопасности относится бессмысленно перемещённый темп, тоже не вполне понимаю. А всё остальное, в общем, «по канонам».]]> Wed, 23 Jan 2013 09:03:27 GMT 23.01.2013 08:59:36 Malamut https://habr.com/ru/articles/166375/#comment_5760613 https://habr.com/ru/articles/166375/#comment_5760613 Wed, 23 Jan 2013 08:59:36 GMT 23.01.2013 08:59:21 Malamut https://habr.com/ru/articles/166375/#comment_5760611 https://habr.com/ru/articles/166375/#comment_5760611 Wed, 23 Jan 2013 08:59:21 GMT