[Zope-it] Setuid

[Tiziano Lattisi]

> Date: Tue, 11 Mar 2003 07:38:02 +0100
> To: Zope-it <Zope-it@zope.org>
> From: Giorgio Andreoletti <giorgio.andreoletti@mentelocale.it>
> Subject: Re: [Zope-it] Setuid
> 
> [...omissis...]
> 
> Ti do questo consiglio : crea un gruppo "zope", e quindi un utente "zope"=20
> che sia membro solo del gruppo "zope".
> assicurati che zope sia down (mi sembra che sia scontato, visto che non=20
> riesci a farlo partire!)
> Da root, dai questo comando :      chown -R zope.zope /usr/local/www/Zope
> 
> ora, ogni volta che vuoi far partire zope, fallo partire con i privilegi=20
> dell'utente zope : in questo modo, oltre a preservare la sicurezza del=20
> sistema, eviti che da zope si possano fare dei casini (volontari o=20
> involontari) a livello di sistema.
> quindi, per lanciarlo:
> 
> su zope -c /usr/local/www/Zope/start &
> 
> in questo modo ti levi di mezzo ogni grana, e se un domani vorrai=20
> installare un'altra versione di zope in parallelo a quella che hai adesso,=
> =20
> assegnandole un altro utente sai gi=E0 che la nuova non potr=E0 in nessun=
>  modo=20
> andare a danneggiare la vecchia....
> 
> Comunque, di norma =E8 buona regola fare in modo che ogni demone giri con i=
> =20
> diritti di un utente dedicato (postgres, ad esempio, si rifiuta in tronco=20
> di partire come root, e se non sbaglio anche qmail e molti altri)
> 
> facci sapere se ha funzionato !
> 
> ciao
> Giorgio
> 

Visto che ci siamo, consiglierei una cosa ulteriore. Copia python2.1 in
una cartella alla stessa altezza di zope e poi chroot-ta l'utente zope
li.
In questo modo non corri rischi che un external impazzito vada in giro
per il tuo filesystem...

Ciao
Tiziano