[Subject Prev][Subject Next][Thread Prev][Thread Next][Subject Index][Thread Index]

[webdav-jp:0371] Re: root のファイルが削除できる



 みやもとともーします。

> 具体的には、
> サーバーはapache1.3.24 mod_dav-1.0.3-1.3.6を使っています。
> apacheのhttpd.confのUser,Groupともにnobodyです。
> 削除されたファイルのUser,Groupともにrootで、
> パーミッションは-r--r--r--でした。
> <LimitExec>ディレクティブを使って、DELETEを使えないようにすれば
> 一応防げるのですが、rootのファイルが削除できてしまうのは
> 問題なのではないか、と思いメールさせてもらいました。

 えーと、親ディレクトリのオーナがおそらく httpd のものになっている
か、httpd が write 可能なものになってるんだと思いますが、この状態で
は別に DAV 経由でなくとも消えてしまいます。

#理解間違ってた私。

 これ自体が仕様なのかバグなのか?といわれると、OSの仕様としか言い
ようがないかな、という感じです。

# Linux だけではなく、FreeBSD でもチェックしてみましたが、やはり
#同じような挙動をします。

> もう一つ質問させてください。
> .htaccessのようなファイルが見えてしまうのですが、
> これを見れなくする方法はあるのでしょうか?
> httpd.confにデフォルトで書かれている設定ではWebフォルダから
> 見えてしまいます。

 dav_fs_repos.c をいじるしかないですね。

 で、もともと、プロパティなどの格納のために .DAV というディ
レクトリを作るのですが、こいつは DAV アクセス経由では見えま
せん。ということで、かなーり前ですが、そのロジックをぱくって
(.htaccess 限定ですが)不可視にするパッチを作りました。
 以下のところにおいてあります。

 http://webdav.todo.gr.jp/download/mod_dav-1.0.3-1.3.6-unshow-dothtaccess.diff.gz

#ちょっと長いですが…

 とりあえず、私の手元ではそれなりに動いてるようですが、
無保証ということで (^^;

 あと、見えなくなったからといって、.htaccess に対する PUT が
無効になるかといわれると、それは別途 httpd.conf で禁止してやら
ないとダメです。

---
宮本 久仁男(Kunio Miyamoto) 
E-mail: wakatono@xxxxxxxxxx