ACL для apache

[gcc]

может можно использовать каталоги для пользователей apahce чтобы они не видели файлы друг друга не создавая групы? (в гугле конкретно найти не могу, но надо еще искать на англиском)

если кто-то использует - скажите

[FATMan]

может можно использовать каталоги для пользователей apahce чтобы они не видели файлы друг друга не создавая групы? (в гугле конкретно найти не могу, но надо еще искать на англиском)

если кто-то использует - скажите

Virtual hosts ?
Если висит PHP, а пути, по которым обращаются скрипты, нужно урезать, то для каждого виртуального хоста в httpd.conf можно прописать:
php_admin_value open_basedir "/var/www/virtual/host1/www"
php_admin_value doc_root "/var/www/virtual/host1/www"
Это не даст скрипту поднятся выше /var/www/virtual/host1/www.

Хотя... Через группы может было бы идти проще и универсальнее... Просто загоните демона Apache в chroot, а там уже создавайте сколько угодно групп (только лучше не из самого Apache. Всё-таки безопасность...). Да и безопаснне ИМХО будет в chroot'е с группами и Virtual Hosts.
Я использую Apache с Virtual Hosts в chroot с группами.

[gcc]

а зачем в данном случае chroot??

пользователь bl и его група bl, и туда www.
и они не смогут просматривать друг друга? еще /etc/login.conf
ЗЫ только в FreeBSD максимум 16 груп

как-то еще по другому можно?

[FATMan]

Chroot для безопасности + подобие виртуальных пользователей. 16 групп?
cat /etc/group показал, что у меня, как минимум, 28 групп (это во FreeBSD 5.3). У вас какая версия?
Я сижу в Опёнке и сделал так:
cp /etc/master.passwd /mywebserv/etc/pd
cp /etc/group /mywebserv/etc/
cd /mywebserv/etc
# Отредактировал файлы, добавил нужных пользователей и групп, удалил лишних
pwd_mkdb -c ./ pd # точно не помню порядок аргументов - здесь может быть ошибка...
rm master.passwd
Далее запустил серв в чруте. А там уже расставляй права как хочешь.
Реальной системе такой трюк не повредит. Могут только возникнуть вопросы, если UID или GID в chroot совпадёт с UIDом или GIDом в системе.
Всё это можно делать и без chroot (создавать пользователей, менять права), но только это засоряет систему лишними пользователями и группами, да и избавится от них вы в один момент не сможете. Если пользователей не так уж и много, то можно и без chroot'а пойти, сделав то же самое с пользователями.

/etc/login.conf

А он то здесь причём?

и они не смогут просматривать друг друга?

Если нормально расставить права, то нет. Только пользователь, под которым запущен веб-сервер сможет получить доступ (а может и не получить... права никто не отменял...) к файлам этих пользователей одновременно.

Больше способов, как разделить доступ, кроме как сменить права я не знаю.

[Igor Yakimchuk]

Chroot для безопасности + подобие виртуальных пользователей. 16 групп?
cat /etc/group показал, что у меня, как минимум, 28 групп (это во FreeBSD 5.3). У вас какая версия?

Имелось ввиду всетаки не кол-во групп в файле, а кол-во групп к которым может принадлежать пользователь.
Если я правильно все понял

[FATMan]

Chroot для безопасности + подобие виртуальных пользователей. 16 групп?
cat /etc/group показал, что у меня, как минимум, 28 групп (это во FreeBSD 5.3). У вас какая версия?

Имелось ввиду всетаки не кол-во групп в файле, а кол-во групп к которым может принадлежать пользователь.
Если я правильно все понял

Увы, с FreeBSD мало знаком...
Да даже если так - 16 не хватит?
требуется только одна группа, в которую должны (хотя... в принципе не обязательно...) быть включены пользователи для того, чтобы web-серв мог работать с файлами (обычно www).
Пользователь, имеющий 16 групп... не разу не видел...

[gcc]

(это во FreeBSD 5.3). У вас какая версия?

псле 6.1 везде 16 групп, говрят связано в nfs

нужно в исходниках ихменить...

[Igor Yakimchuk]

вообщето 28 групп в файле /etc/group было написано. А nfs и в 5.3 было. Помоему вы разговариваете и сами не понимаете друг друга.
А так как при создании пользователя по умолчанию создается и группа, если ничего не менять, то естественно в файле /etc/group будет много групп.