Один путь был бы этим:
umask 0002
таким образом, файлы, которые они создают, являются чтением-записью для группы и читаемый для других по умолчанию.chmod a-rwx
корневой каталог каждого сайта, для предотвращения доступа людьми вне разрешенной группы.setfacl -m user:apache:rx
тот каталог для предоставления доступа для чтения к apache
пользователь, в дополнение к другим полномочиям.Относительно файлов, созданных апачским процессом:
sudo
апачскому пользователю. Возможно, только, чтобы выполнить определенные команды, например, добавить группу пишут полномочия с помощью ACLs.Но поскольку Вы заявили, все ограничения чтения могут обойтись, если пользователи могут запустить произвольные скрипты как апачский пользователь. Для противостояния этому Вы могли попытаться иметь сценарии одного сайта, выполняемого как определенный пользователь в соответствующей группе. Я полагаю, что существует способ установить это использование mod_fcgid
. Иначе apache[suexec]
и php[cgi]
мог бы работать на Вас.
Для получения еще лучшей изоляции у Вас должно было бы быть несколько апачских процессов, работая как различные пользователи, и возможно даже chrooted к различным каталогам. Или в различных единицах OpenVZ или другом Xen domUs, или на других аппаратных средствах. Как Вы видите, существует много различных уровней изоляции, каждой обеспечивающей лучшей изоляции, чем та прежде, за счет mre требований к ресурсам.
Это корректно. Обратные поиски DNS выполняются путем запросов PTR
запись для IP-адреса в .in-addr.arpa
домен. Имена DNS имеют младший значащий / наименее широкий компонент сначала, таким образом, октеты IP-адреса, которые записаны со старшим значащим / самым широким компонентом сначала, помещаются в обратный порядок так, чтобы каждый класс сети мог иметь DNS зоны.
Если Вы хотите поддерживать обратные поиски DNS на частных IP-адресах, необходимо будет настроить зону для 10.in-addr.arpa.
содержать PTR
запись для 50.4.128.10.in-addr.arpa.
.
com.mycompany.www.server456
, rDNS поиск называет для10.128.4.50
был бы.arpa.in-addr.10.128.4.50
, и URL имели бы все элементы, идущие от более широкого до более определенных идентификаторов. – depquid 18.06.2013, 19:26