Hi,
Andreas Kimpfler wrote:
> Hallo Liste,
>
> ich bin gerade dabei mein kleines, privates Apache System neu zu
> organisieren. Dabei sollen ein paar neue User auf das System Einzug
> halten. Das Ziel ist das System mit suExec und fcgid zu erstellen um ein
> bisschen in die Sicherheit zu investieren.
> Das ganze funktioniert auch soweit, aber da ich auf dem gesamten System
> Filesystem ACLs einsetze mag mich suExec nicht besonders gerne :)
> Das Problem ist, das Verzeichnis und der FCGI Wrapper gehören dem User
> root und dem jeweiligen User wird nur mittels einer ACL erlaubt das
> Script auszuführen (--x). Bei dieser Konstellation beschwert sich suExec
> dass das File und Verzeichnis nicht dem User gehören und verweigert
> sämtliche Arbeit:
>
> target uid/gid (1234/5678) mismatch with directory (0/0) or program
> (1234/5678)
> target uid/gid (1234/5678) mismatch with directory (1234/5678) or
> program (0/0)
Die übliche Lösung das Wrapper-Skript vor Änderung zu schützen und
trotzdem die Prüfungen von suexec zu absolvieren ist das Verzeichnis und
Wrapper-Skript durch Setzen des "immutable"-Flags per "chattr +i" zu
schützen. Dabei bleibt der Eigentümer von Skript und Verzeichnis aber
der per SuExecUserGroup angegebene Account.
Diese Lösung setzt aber wohl ein ext2/3 Filesystem vorraus. Ich weiss
nicht wie es da mit anderen Filesystemen aussieht.
[...]
Grüsse,
.max
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an [email protected]
sonstige Anfragen an [email protected]
--------------------------------------------------------------------------
