[PHP-users 5218] Re: [SECURITY]:PHP4 session spoofing exploit
Tomoyuki Asakawa
php-users@php.gr.jp
Wed, 6 Feb 2002 07:55:12 +0900
あさかわ
>・各ユーザのホームディレクトリ
>/home/****
>UIDは個々のユーザに対して別のもの
>GIDは共通のものにする(例えば webusers)
>また、各ホームディレクトリのパーミッションは
>drwx-----x (701)
の場合
>httpd.conf内にて、メインサーバとバーチャルサーバを設定
>メインサーバ
>User www
>Group www
これでは、apacheは、
index.htmlすら表示できないです。
それはなんども書いてますがバーチャルサーバの
User ****
Group webusers
は、cgiが起動する時しか効果がないからです。
apacheは、メインサーバのUid/Gidで
ファイルをopenして、cgiを起動するときだけ
バーチャルサーバのUid/Gidを使います。
なので、メインサーバのUid/Gidでread可能に
なっている必要があります。