httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Andreas Kimpfler <webmas...@tibdefender.com>
Subject Frage zu suExec und Posix ACLs
Date Fri, 06 Mar 2009 20:20:09 GMT
Hallo Liste,

ich bin gerade dabei mein kleines, privates Apache System neu zu
organisieren. Dabei sollen ein paar neue User auf das System Einzug
halten. Das Ziel ist das System mit suExec und fcgid zu erstellen um ein
bisschen in die Sicherheit zu investieren.
Das ganze funktioniert auch soweit, aber da ich auf dem gesamten System
Filesystem ACLs einsetze mag mich suExec nicht besonders gerne :)
Das Problem ist, das Verzeichnis und der FCGI Wrapper gehören dem User
root und dem jeweiligen User wird nur mittels einer ACL erlaubt das
Script auszuführen (--x). Bei dieser Konstellation beschwert sich suExec
dass das File und Verzeichnis nicht dem User gehören und verweigert
sämtliche Arbeit:

target uid/gid (1234/5678) mismatch with directory (0/0) or program
(1234/5678)
target uid/gid (1234/5678) mismatch with directory (1234/5678) or
program (0/0)

Nach einigem googlen und dem durchsuchen der Apache Mailinglisten bin
ich darauf gestossen, dass dies bereits mal als Bug bei Apache 1.3
gemeldet wurde und dann wohl in mod_cgi bzw suExec gefixt wurde. Siehe
https://issues.apache.org/bugzilla/show_bug.cgi?id=17897
Deshalb meine Frage, warum prüft suExec hier nicht auf die Filesystem
ACLs obwohl diese ja in Ordnung sind, bzw. dies standardkonform ist ?
Und falls jemand schon mal genau das gleiche Problem hatte, wie hat er
dies gelöst ?

Viele Grüße
Andreas

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message