https://www.opennet.ru/openforum/vsluhforumID8/6978.html Подскажите, пожалуйста, как ограничить пользователя его домашней директорией, если он запускает скрипты кроном?<br> https://www.opennet.ru/openforum/vsluhforumID8/6978.html#30 Wed, 08 Sep 2010 11:28:36 GMT &gt;&gt;Уже в который раз забываешь один момент :) <br>&gt;&gt;А если скрипт "глубже" хоть на один каталог? Ему будет недоступен остальной <br>&gt;&gt;хомяк, а этого делать нельзя. Пользователь должен иметь полную свободу в <br>&gt;&gt;своём ~, и резвиться там как ему заблагорассудится, но не должен <br>&gt;&gt;иметь возможности выйти из своего домашнего каталога. <br>&gt;<br>&gt;я это прекрасно понимаю - учите пользователей грамотно писать скрипты <br><br>С какой это стати я, как админ, должен учить пользователей? Для этого есть их более опытные коллеги.<br>Чтобы не наломали дров, выделяется загончик, и пусть там делают что хотят.<br><br><br>&gt;вообще тут вариант и сесть и рыбу съесть - надо тоже определится <br>&gt;уже ... https://www.opennet.ru/openforum/vsluhforumID8/6978.html#29 Tue, 07 Sep 2010 13:41:01 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Вариант 2. <br>&gt;Ставим в php.ini open_basedir=. <br>&gt;К примеру, user1 пишет скрипт размещеный в /home/user1/www/script.php со следующим кодом <br>&gt;&lt;? <br>&gt;require("/home/user1/functions.php"); <br>&gt;?&gt;<br>&gt;и получает ошибку, что ему нельзя оттуда инклудить файлы (неверно!). <br>&gt;<br>&gt;Именно поэтому оба эти варианты непригодны. <br><br>сделай уже все правами на диры + acl - хватит заниматься садомазо ...<br> https://www.opennet.ru/openforum/vsluhforumID8/6978.html#28 Tue, 07 Sep 2010 13:39:35 GMT &gt;Уже в который раз забываешь один момент :) <br>&gt;А если скрипт "глубже" хоть на один каталог? Ему будет недоступен остальной <br>&gt;хомяк, а этого делать нельзя. Пользователь должен иметь полную свободу в <br>&gt;своём ~, и резвиться там как ему заблагорассудится, но не должен <br>&gt;иметь возможности выйти из своего домашнего каталога. <br><br>я это прекрасно понимаю - учите пользователей грамотно писать скрипты<br>вообще тут вариант и сесть и рыбу съесть - надо тоже определится уже ...<br><br><br> https://www.opennet.ru/openforum/vsluhforumID8/6978.html#27 Tue, 07 Sep 2010 12:17:39 GMT &gt;кто пишет скрипт - пользователь! <br>&gt;где он лежит - в хомяке! <br>&gt;используя "точку" можно по крайней мере запереть его там - хотя вообще <br>&gt;какой глубинный смысл этого? <br><br>Nimdar правильно сказал. Хотелось бы наверное только добавить пример:<br><br>К примеру имеем двух пользователей (на деле их гораздо больше)<br><br>Вариант 1.<br>Ставим в php.ini open_basedir=/home/user1/<br>Результат: пользователь user1 не может подняться выше домашней директории (все верно), а у user2 вообще перестают работать PHP-скрипты (неверно!).<br><br>Вариант 2.<br>Ставим в php.ini open_basedir=.<br>К примеру, user1 пишет скрипт размещеный в /home/user1/www/script.php со следующим кодом<br>&lt;?<br>require("/home/user1/functions.php");<br>?&gt;<br>и получает ошибку, что ему нельзя оттуда инклудить файлы (неверно!).<br><br>Именно поэтому оба эти варианты непригодны.<br> https://www.opennet.ru/openforum/vsluhforumID8/6978.html#26 Tue, 07 Sep 2010 12:04:32 GMT &gt;И чтобы два раза не вставать, да, можно использовать -с php.ini для <br>&gt;каждого пользователя. Но как ты заставишь и проконтролируешь пользователей, чтобы они <br>&gt;запускали скрипты именно так? <br><br>А если дать возможность добавлять задания только через WEB-панель... То, похоже, проблему можно решить этим способом.<br> https://www.opennet.ru/openforum/vsluhforumID8/6978.html#25 Tue, 07 Sep 2010 10:57:54 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;ткни плиз - cli не особо юзал <br>&gt;&gt;<br>&gt;&gt;Я нигде не утверждал, что в cli не работает. Но в _данном_конкретном_ <br>&gt;&gt;случае open_basedir не имеет смысла, ибо пользователей много, а параметр - <br>&gt;&gt;один, и привязать его к конкретному пользователю невозможно. <br>&gt;<br>&gt;кто пишет скрипт - пользователь! <br>&gt;где он лежит - в хомяке! <br>&gt;используя "точку" можно по крайней мере запереть его там - хотя вообще <br>&gt;какой глубинный смысл этого? <br><br>Уже в который раз забываешь один момент :) <br>А если скрипт "глубже" хоть на один каталог? Ему будет недоступен остальной хомяк, а этого делать нельзя. Пользователь должен иметь полную свободу в своём ~, и резвиться там как ему заблагорассудится, но не должен иметь возможности выйти из своего домашнего каталога.<br> https://www.opennet.ru/openforum/vsluhforumID8/6978.html#24 Tue, 07 Sep 2010 10:46:35 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;Надо играть пользовательскими правами, т.е. запретить user1 лазить к user2 и т.д. <br>&gt;&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;я не видел в доках явного указания что фича работает только в <br>&gt;&gt;модульном режиме ... <br>&gt;&gt;ткни плиз - cli не особо юзал <br>&gt;<br>&gt;Я нигде не утверждал, что в cli не работает. Но в _данном_конкретном_ <br>&gt;случае open_basedir не имеет смысла, ибо пользователей много, а параметр - <br>&gt;один, и привязать его к конкретному пользователю невозможно. <br><br>кто пишет скрипт - пользователь!<br>где он лежит - в хомяке!<br>используя "точку" можно по крайней мере запереть его там - хотя вообще какой глубинный смысл этого?<br> https://www.opennet.ru/openforum/vsluhforumID8/6978.html#23 Tue, 07 Sep 2010 10:20:40 GMT &gt;&gt;&gt;ПОСТАВЬ ТОЧКУ! <br>&gt;&gt;<br>&gt;&gt;Точка будет приравнена к текущей директории, а не к домашней. Это не <br>&gt;&gt;подходит. <br>&gt;<br>&gt;и? у тебя скрипт шарится по всей файлухе? или сам скрипт лежит <br>&gt;не в хомяке? <br><br>Так проблема, как я понимаю, в том, чтобы какой-нибудь особо продвинутый пользователь не мог шариться и/или запускать скрипт не в хомяке.<br>Короче, нечто вроде php-чрута.<br> https://www.opennet.ru/openforum/vsluhforumID8/6978.html#22 Tue, 07 Sep 2010 10:17:36 GMT &gt;&gt;и? у тебя скрипт шарится по всей файлухе? или сам скрипт лежит <br>&gt;&gt;не в хомяке? <br>&gt;<br>&gt;Если скрипт лежит в /home/user1/www/dir1/script.php, то он не сможет например выполнить include("/home/user1/script.php"); <br>&gt;<br><br>Если у тебя open_basedir будет /home/user1/, то никаких проблем не будет, я выше уже писал.<br>И чтобы два раза не вставать, да, можно использовать -с php.ini для каждого пользователя. Но как ты заставишь и проконтролируешь пользователей, чтобы они запускали скрипты именно так?<br>