httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Max Dittrich <max.dittr...@t-online.de>
Subject Re: Frage zu suExec und Posix ACLs
Date Sat, 07 Mar 2009 12:04:02 GMT
Hi,

Andreas Kimpfler wrote:
> Hallo Liste,
> 
> ich bin gerade dabei mein kleines, privates Apache System neu zu
> organisieren. Dabei sollen ein paar neue User auf das System Einzug
> halten. Das Ziel ist das System mit suExec und fcgid zu erstellen um ein
> bisschen in die Sicherheit zu investieren.
> Das ganze funktioniert auch soweit, aber da ich auf dem gesamten System
> Filesystem ACLs einsetze mag mich suExec nicht besonders gerne :)
> Das Problem ist, das Verzeichnis und der FCGI Wrapper gehören dem User
> root und dem jeweiligen User wird nur mittels einer ACL erlaubt das
> Script auszuführen (--x). Bei dieser Konstellation beschwert sich suExec
> dass das File und Verzeichnis nicht dem User gehören und verweigert
> sämtliche Arbeit:
> 
> target uid/gid (1234/5678) mismatch with directory (0/0) or program
> (1234/5678)
> target uid/gid (1234/5678) mismatch with directory (1234/5678) or
> program (0/0)

Die übliche Lösung das Wrapper-Skript vor Änderung zu schützen und
trotzdem die Prüfungen von suexec zu absolvieren ist das Verzeichnis und
Wrapper-Skript durch Setzen des "immutable"-Flags per "chattr +i" zu
schützen. Dabei bleibt der Eigentümer von Skript und Verzeichnis aber
der per SuExecUserGroup angegebene Account.

Diese Lösung setzt aber wohl ein ext2/3 Filesystem vorraus. Ich weiss
nicht wie es da mit anderen Filesystemen aussieht.

[...]

Grüsse,
.max


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message