sslug-teknik team mailing list archive

[Anders Bruun Olsen <anders@xxxxxxxxxxxxxxx>]

On Sun, Oct 24, 2004 at 01:52:38PM +0200, Kenneth Dalbjerg wrote:
> Jeg har en apache med en et par virtualhost, nu kunne jeg så godt tænke 
> mig at hver virtualhost havde sin egen bruger.

Det kan du ikke. Virtual Hosts kører jo ikke som seperate processer, det
er blot Apache som benytter nogle andre indstillinger baseret på hvilket
hostname der bliver bedt om. Selve Apache processerne er de samme uanset
om det er vhost1.dk eller vhost2.dk du beder om.
Og da Apache skifter til hvad-end-bruger/gruppe du har angivet når
Apache er startet af root, så giver den også afkald på at kunne skifte
bruger/gruppe, da nobody/apache/www/hvadend brugeren af
sikkerhedsårsager ikke kan skifte til andre brugere. Det er af
sikkerhedsårsager, således at hvis der findes en bufferoverflow eller
lign sårbarhed i Apache, så kan den højest udnyttes til at udføre
programkald som den bruger Apache kører som, ikke som root.

-- 
Anders
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS/O d--@ s:+ a-- C++ UL+++$ P++ L+++ E- W+ N(+) o K? w O-- M- V
PS+ PE@ Y+ PGP+ t 5 X R+ tv+ b++ DI+++ D+ G e- h !r y?
------END GEEK CODE BLOCK------
PGPKey: http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x8BFECB41