FollowSymlinks σε cgi-bin directory στον Apache

[George Notaras]

Giorgos Keramidas wrote:
> On Wed, 22 Apr 2009 17:17:14 +0300, George Notaras <gnot at g-loaded.eu> wrote:
>> Δοκιμάζω κάτι στον apache, το οποίο για να δουλέψει, μάλλον χρειάζεται
>> να ενεργοποιήσω το option FollowSymlinks για το scriptaliased directory,
>> όπως για παράδειγμα παρακάτω:
>>
>>   ScriptAlias /test/ "/var/www/user1/test/"
>>   <Directory "/var/www/user1/test">
>>       Options FollowSymlinks
>>       AllowOverride None
>>       [...]
>>   </Directory>
>>
>> Είναι βλακώδες το παραπάνω configuration;
> 
> Θεωρητικά το FollowSymlinks επιτρέπει σε κάποιον που χάκεψε ένα CGI εκεί
> μέσα να προσπελάσει οποιοδήποτε μέρος του filesystem είναι readable ή
> writable από τον χρήστη με τον οποίο τρέχει το apache.
> 
> Αν σε ενοχλεί αυτό ή το httpd τρέχει με πρόσβαση σε δεδομένα που ίσως δε
> θα 'πρεπε να είναι εν δυνάμει readable από CGI script hacks, μπορείς να
> ορίσεις το ScriptAlias να δείχνει σε ένα 'safe' μέρος, π.χ.:
> 
>     ScriptAlias /test/ "/var/www/cgi.d/project1/"
>     <Directory "/var/www/cgi.d/project1/">
>       AllowOverride None
>     </Directory>
> 
> και να στήσεις ένα cron job που μεταφέρει (π.χ. με rsync) τα scripts από
> το 'safe' common directory `/home/p/project1/cgi' στο script-aliased tree.
> 
> Έτσι οι users του `project1' μπορούν να κάνουν ότι θέλουν στο κοινό τους
> directory, αλλά δεν είσαι υποχρεωμένος να ενεργοποιήσεις το FollowSymlinks
> option.
> 

Μάλλον θα ακολουθήσω αυτή την τακτική με το cronjob και to rsync. Thanks :)