Hallo Max,
Max Dittrich schrieb:
> Hi,
>
> Andreas Kimpfler wrote:
>
>> Hallo Liste,
>>
>> ich bin gerade dabei mein kleines, privates Apache System neu zu
>> organisieren. Dabei sollen ein paar neue User auf das System Einzug
>> halten. Das Ziel ist das System mit suExec und fcgid zu erstellen um ein
>> bisschen in die Sicherheit zu investieren.
>> Das ganze funktioniert auch soweit, aber da ich auf dem gesamten System
>> Filesystem ACLs einsetze mag mich suExec nicht besonders gerne :)
>> Das Problem ist, das Verzeichnis und der FCGI Wrapper gehören dem User
>> root und dem jeweiligen User wird nur mittels einer ACL erlaubt das
>> Script auszuführen (--x). Bei dieser Konstellation beschwert sich suExec
>> dass das File und Verzeichnis nicht dem User gehören und verweigert
>> sämtliche Arbeit:
>>
>> target uid/gid (1234/5678) mismatch with directory (0/0) or program
>> (1234/5678)
>> target uid/gid (1234/5678) mismatch with directory (1234/5678) or
>> program (0/0)
>>
>
> Die übliche Lösung das Wrapper-Skript vor Änderung zu schützen und
> trotzdem die Prüfungen von suexec zu absolvieren ist das Verzeichnis und
> Wrapper-Skript durch Setzen des "immutable"-Flags per "chattr +i" zu
> schützen. Dabei bleibt der Eigentümer von Skript und Verzeichnis aber
> der per SuExecUserGroup angegebene Account.
>
Das mit den Flags kannte ich schon. Das hatte ich auch bereits
umgesetzt. Problem ist nur, dass ich das Verzeichnis wo das Wrapper
Script liegen habe auch im FTP Home des Users ist. Somit kann der User
wenn ihm das Verzeichnis gehört auch Files ablegen. Und genau das wollte
ich eben mit den ACLs umgehen, so dass er zwar Zugriff auf das
Verzeichnis und den Wrapper hat, diese aber nicht sieht und dort nichts
neues anlegen kann. Also gehören tut ihm das Verzeichnis schon, nur eben
nur über ne ACL. Und genau deshalb frage ich mich warum suexec die ACLs
nicht interpretiert...
> Diese Lösung setzt aber wohl ein ext2/3 Filesystem vorraus. Ich weiss
> nicht wie es da mit anderen Filesystemen aussieht.
>
>
Ich setze ReiserFS ein, da muss man als Mount-Option noch "user_xattr"
anhängen dann geht das dort auch. Also von dem her kein Problem.
Viele Grüße
Andreas
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscr...@httpd.apache.org
sonstige Anfragen an users-de-h...@httpd.apache.org
--------------------------------------------------------------------------
