Почему www-data не может читать /usr/share?

Question

[admin-baton]

Хочу заполнить один пробел в своих знаниях *nix, но даже не знаю, что именно гуглить.

Суть моего пробела в одном вопросе:
Есть директория /usr/share, владелец и группа - root, права стандартные, т.е. 755 на директориях и 644 на файлах. Эти права ПОЗВОЛЯЮТ читать, именно читать файлы и папки любому пользователю системы.
Есть один Apache в связке с пхп, который выполняется под юзером www-data. И ему... ЗАПРЕЩЕН доступ к директории /usr/share! Что характерно, тот же phpMyAdmin из /usr/share/phpmyadmin работает под юзером www-data, и все читается!
ПОЧЕМУ?! Поясните пожалуйста! Или ткните в правильные мануалы, объясняющие такой расклад.

Для чего надо: хочу сделать директорию, в которой будут храниться общие php-библиотеки, для инклуда из любого виртуального хоста, в режиме read-only.

Answer 1

[Slava Kryvel]

Как Вы определили что ему запрещен доступ?

Comments

[admin-baton]

php:
is_readable('/usr/share');
is_readable('/usr/share/phpmyadmin/config.inc.php');

[Slava Kryvel]

admin-baton: а если попробовать прочитать любой файл в этой директории?
насколько я помню, в apache по умолчанию применяется Options -Indexes поэтому Вам is_readable('/usr/share'); вернет false

[admin-baton]

file_get_contents() тоже не читает файл.
Причем тут Options -Indexes не понял, из мануала эта директива указывает, можно ли отображать оглавление каталога, если отсутствуют файлы index.*

[Slava Kryvel]

попробуйте еще php.net/manual/en/function.scandir.php
какой результат команды будет?

[admin-baton]

false

[Slava Kryvel]

а можно сюда вывод команд
ls -ld /usr
ls -ld /usr/share
и попробуйте еще в scandir передать путь со слешем в конце.

[admin-baton]

> echo exec('ls -ld /usr/share');
drwxr-xr-x 74 root root 4096 Apr 26 16:03 /usr/share
> scandir передать путь со слешем в конце
false

[Slava Kryvel]

хм.. а PHP случайно в логи не пишет никаких ошибок?

[admin-baton]

/var/log/apache2/error.log - ничего. Хотя другие пхп-ошибки (не связанные с этим) пишутся.

[Slava Kryvel]

тогда еще так echo exec('id -a');

[admin-baton]

> exec('id -a');
uid=33(www-data) gid=33(www-data) groups=33(www-data),502(adminbaton)

во, додумался ошибки включить.
Warning: file_get_contents(): open_basedir restriction in effect. File(/usr/share/php/test.txt) is not within the allowed path(s):

Я так и думал. Теперь бы настроить, чтобы путь /usr/share/php добавлялся автоматически как open_basedir к каждому хосту.

[Slava Kryvel]

stackoverflow.com/questions/223800/how-can-i-relax...
вот так например)

Answer 2

[oldbro]

Возможно, непосредственно в настройках апача запрещено.
Смотрите, в /etc/apache/apache2.conf (или какой у Вас дистрибутив) в блок

<Directory /usr/share>
.....
</Directory>

Comments

[admin-baton]

Это можно через конфиг апача запрещать? Поподробнее плз

[oldbro]

admin-baton: Можно: Options -Indexes - запрет на чтение.
Второе: правильнее, думаю, было бы сделать директорию для php-библиотек в директории, где лежат виртуальные хосты, а не в стороне.

[admin-baton]

> Можно: Options -Indexes - запрет на чтение.
Вы походу немного неправильно меня поняли. Как известно из документации, "Options -Indexes" указывает, можно ли отображать оглавление каталога, если отсутствуют файлы index.*. А мне нужно, чтобы сам скрипт пхп мог читать файлы из другой директории. В любом случае, спасибо за наводку, нагуглил, что open_basedir это может делать. Читаю.

Answer 3

[Юрий Чудновский]

is_readable лишь проверяет, можно ли получить file_get_contents() и тому подобное, следовательно, в случае ответа 403 функция вернёт FALSE, даже если директория доступна к чтению, просто сработало Options -Indexes или другое подобное запрещение в конфиге.