Re: suexec Problem

From: Karsten Gorling <kgorling(at)physik.TU-Berlin.DE>
Date: Sun, 3 Jul 2005 15:23:42 +0200

* Sven Müller <sven(at)hitnet.rwth-aachen.de> [050703 15:09]:
> Hab ich das ganze nun falsch verstanden, oder muss ich dem Apache
> anderen Parameter als in der default-config mitgeben?

Schau Dir die Bauparameter APACHE_SUEXEC_UIDMIN und APACHE_SUEXEC_GIDMIN an,
beide müssen kleinergleich sein, als die uidnummer und gidnummer der von der
gewählten Benutzer. Außerdem muss natürlich
APACHE_SUEXEC_DOCROOT, APACHE_SUEXEC_USERDIR und APACHE_SUEXEC_CALLER
passen. Schaue Dir dazu die Defaults zum Makefile
in /usr/ports/www/apache13 an.

> <VirtualHost xxx.xxx.xxx.xxx:80>
> ServerName blabla.de
> User sven
> Group wheel
> Options +ExecCGI FollowSymLinks Includes Indexes MultiViews
> AddHandler cgi-script .cgi .pl
> DocumentRoot /usr/local/www/docs/sven/html/
> ScriptAlias /cgi-bin /usr/local/www/docs/sven/cgi-bin
> CustomLog /usr/local/www/docs/sven/log/access.log meinlog
> </VirtualHost>

Du weißt aber schon, das es sehr riskant ist Skripte unter den Rechten
der Gruppe "wheel" laufen zu lassen? Du solltest unbedingt vermeiden,
das CGI-Skripte als ein Benutzer ausgeführt werden, der auf dem
Rechner bereits über erhöhte Privelegien (z.B. durch Mitgliedschaft in
verschiedenen Gruppen) verfügt.

-- 
Max-Born-Institut (MBI)/Max-Born-Straße 2A/12489 Berlin/Karsten Gorling
Telefon: ++49 30 6392 1341 / Telefax: ++49 30 6392 1309 
E-Mail: kgorling(at)physik.tu-berlin.de or gorling(at)mbi-berlin.de
Instantmessenger: Jabber: grafzahl(at)jabber.fsinf.de or ICQ: 95492828
PGP-Fingerprint:  4BEF 23EA 02AE BACA 9918  31FF 285B 0426 0E1A B2FC
----------------- > encrypted E-Mail preferred <------------------------
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 03 Jul 2005 - 15:24:35 CEST

search this site