On Thu, Mar 01, 2007 at 10:34:55AM +0100, aLe wrote:
E' colpa di joomlaxplorer che non si fa i cazzi suoi e va a vedere se la dir base e' leggibile: http://developer.joomla.org/sf/discussion/do/listPosts/projects.joomlaxplore...
beh, dai, non puoi dare colpa a joomlaxplorer.
un include('/etc/passwd') funzionava perfettamente prima del chroot...
I siti del circolab sono tutti scrivibili dal gruppo www-data, in ogni caso tutto quello che viene fatto via web (quindi via joomla) viene fatto dall'utente www-data che ovviamente a pieni poteri su tutte le cartelle. Il chroot non c'entra nulla.
ovvio, tutti i siti sono nel chroot e girano come stesso utente.
Oggi provo a dare un'occhiata, comunque non e' prob prioritario: joomlaxplorer e' un componente accessibile solo al superadmin di joomla, chi ha questo ruolo dovrebbe essere in grado di non combinare danni.
si, ma con una open_basedir giusta evitiamo che si possano includere file a vicenda con login password etc etc.
Inoltre joomlaxplorer e' piuttosto inutile (leggi inutilmente insicuro) sul server del circolab, dove si puo' avere un accesso ftp o sftp a "qualsiasi" cartella.
si', ma se abbiamo dato l'account ftp/sftp...
sarebbe da chrootare anche quello forse??