CentOS apache/ftp e permessi su directory

[V1RuZ]

Ciao,
ho un server su CentOS 5 con apache e vsftpd.
Apache girà con un utente mentre lo user che è stato creato per ftp è diverso, quindi gli script php che girano su apache non possono scrivere su alcuna directory a meno che non si diano permessi 777.

Ora mi chiedo, come posso aggirare questo problema? Per il momento ho messo l'utente di apache nello stesso gruppo dell'utente ftp in modo da permettere la scrittura con permessi 755 agli script php.

E' errata questa configurazione? e che problemi di sicurezza potrebbero eventualmente verificarsi?

Grazie a tutti

[V1RuZ]

Nessuno sa come agire sotto questa configurazione?

[Marcolino's]

Difficile risponderti, in pratica non ci dici nulla.
PHP gira come modulo o come CGI? E' attivo suhosin e/o mod suphp?
E' normale che Apache e FTP girino come utenti diversi, sono applicazioni diverse ma questo non c'entra nulla ne con PHP e ne con le tue directory, piuttosto ci devi dire se hai una configurazione di default in /var/www ho l'hai modificata e in che modo.
Di norma gli account sul server sono del tipo nome_utente/nobody (o meglio sarebbe altro gruppo) l'account che usi te di che tipo è?

[V1RuZ]

Allora,
la configurazione dell'utente proprietario della directory di root del web è
utente1 : utente1

Mentre apache gira con configurazione
apache:apache utente1

Ho messo l'utente apache nel gruppo utente1 in modo da dargli accesso in scrittura alle directory dell'utente1 perchè ho alcuni script che necessitano di permesso in scrittura.

Quindi dando permessi 775 ho dato accesso ad apache alle directory di utente1.
questa configurazione probabilmente dal punto di vista della sicurezza è errata, vorrei sapere come gestirla


[EDIT] PHP non so se gira come modulo o come CGI, perchè l'installazione non è stata fatta da me.. come faccio a saperlo?

Vedo che però è installato il modulo suexec
[/EDIT]

[V1RuZ]

Ipotizzando che php girasse come cgi e visto il suexec attivo ho inserito la direttiva
SuexecUserGroup utente1 utente1

nel virtualhost relativo ma controllando l'utente con il seguente script php:

<?php
echo exec("whoami");
?>

l'utente risulta essere sempre quello di apache.

[V1RuZ]

Nessuno eh..forse che debba provare nel forum apache?

[nifriz]

Aspetta che passi per il forum detroit, magari sa darti una dritta