Apache - bezp. między użytkownikami Opcje

[Rzepa]

hej.

Pytanie:
Jak skonfigurować Apache'a tak, aby użytkownicy nie mogli sobie nawzajem modyfikować zawartości katalogów? Chodzi o taką konfigurację, w ktorej skrypt nie mógłby modyfikować plików znajdujących się w innych gałęziach drzewa katalogów. A może tak jest domyślnie?

Pozdrawiam,
Rzepa.

[FiDO]

Domyslnie to jest tak, ze skrypt moze zmodyfikowac to co ma prawo do zapisu dla Others lub to czego jest wlascicielem (wszystkie pliki stworzone przez samo php). Jesli caly kod strony uzytkownicy tworza u siebie lokalnie i wgrywaja na serwer za via FTP to pliki te maja ownera ich konta, wiec zaden skrypt ich nei zmodyfikuje.
Ale jesli juz jakies konto ma upload via przegladarka to pliki uploadowane beda mialy ownera www (apache, czy na jakiego tam innego usera jest zainstalowany Apache, zaleznie od systemu).

Jesli wiec interesujesz sie wiekszym bezpieczenstwem to polecam:
Apache + chroot z tym ze do tego wypadaloby miec jakas minimalna wiedze nt. linuxa/unixa.

[Rzepa]

ok, a taki przypadek:
skrypt użytkownika A działa w katalogu, do którego php ma prawo zapisu (bo musi tworzyć pewne pliki, potrzebne do działania strony). strona właściciela odpala się skryptem np. index.php
użytkownik B tworzy własny skrypt php, który we wspomnianym katalogu tworzy plik index.html, który ma pierwszeństwo przed index.php (bo tak mamy skonfigurowanego Apache'a) i przekierowuje wywołanie w inne miejsce (czyli atak D.O.S.)
jak uchronić się przed tym?
(zakładamy, że A jest zielony i sam się nie zabezpieczy.)

pozdr.
Rzepa.