Re: suexec Problem

From: Sven Müller <sven(at)hitnet.rwth-aachen.de>
Date: Sun, 17 Jul 2005 12:10:11 +0200



Hallo,



pardon dass ich mich so spät wieder auf das Problem melde, aber ich war


recht lange unterwegs....Leider muss ich das Problem aber noch immer


lösen und brauche noch ein wenig Hilfe.



On Sun, Jul 03, 2005 at 03:23:42PM +0200, Karsten Gorling wrote:


> * Sven Müller <sven(at)hitnet.rwth-aachen.de> [050703 15:09]:


> > Hab ich das ganze nun falsch verstanden, oder muss ich dem Apache


> > anderen Parameter als in der default-config mitgeben?


> 


> Schau Dir die Bauparameter APACHE_SUEXEC_UIDMIN und APACHE_SUEXEC_GIDMIN an, 


> beide müssen kleinergleich sein, als die uidnummer und gidnummer der von der


> gewählten Benutzer. Außerdem muss natürlich


> APACHE_SUEXEC_DOCROOT, APACHE_SUEXEC_USERDIR und APACHE_SUEXEC_CALLER


> passen. Schaue Dir dazu die Defaults zum Makefile


> in /usr/ports/www/apache13 an.



Zum Grundsätzlichen Verständnis...was ich vorhabe ist, dass verschiedene


User ihr Scripte ausführen können und das natürlich auch nur mit ihren


Rechten, also ihrem User. 


Der Apache ist mit SUEXEC_CALLER=www übersetzt. Default halt. Ist es so


nicht möglich das die User das Script ausführen. Ich dachte dafür wäre


eben die User und Group Option in der VHost Einstellung.



Oder wie muss ich den Server anders übersetzen, damit das so funktioniert? 


Nicht das ich das ganze falsch verstanden hab :-(



> > <VirtualHost xxx.xxx.xxx.xxx:80>


> >   ServerName blabla.de


> >   User sven


> >   Group wheel


> >   Options +ExecCGI FollowSymLinks Includes Indexes MultiViews


> >   AddHandler cgi-script .cgi .pl


> >   DocumentRoot /usr/local/www/docs/sven/html/


> >   ScriptAlias /cgi-bin /usr/local/www/docs/sven/cgi-bin


> >   CustomLog /usr/local/www/docs/sven/log/access.log meinlog


> > </VirtualHost>


> 


> Du weißt aber schon, das es sehr riskant ist Skripte unter den Rechten


> der Gruppe "wheel" laufen zu lassen? Du solltest unbedingt vermeiden,


> das CGI-Skripte als ein Benutzer ausgeführt werden, der auf dem


> Rechner bereits über erhöhte Privelegien (z.B. durch Mitgliedschaft in


> verschiedenen Gruppen) verfügt.



Upps, ja klar. Das Problem besteht aber noch immer, wenn ich nen User


mit gössere UID,GUID verwende.



Danke für Eure Hilfen.



Grüße, Sven



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Sun 17 Jul 2005 - 12:06:34 CEST













search this site