Apache user

Jaroslav Benkovsky benkovsk na pha.pvt.cz
Úterý Květen 5 10:51:02 CEST 1998


Daniel Prynych wrote:
> Ale potrebuje hlavni proces sedi na portu 80 a podle pozadaku
> spusti dalsi kopie s jinum uzivatelem.
> Ale na 80 muze naslouchat jen root.

Ano, ale kdyz udela bind jako root, tak uz potom roota nepotrebuje.
Jak jsem uz napsal, Netscape server to tak dela.

david kostal (kron na fi.muni.cz)

> Ma to neprijemne dusledky, pokud jsou povoleny cgi skripty. Protoze
> pak muze killall -9 httpd zabit vsechny demony (pokud by ten prvni
> bezel jako root, tak zustane a spusti ostatni), a navic by musely byt
> logy zapisovatelne pro uzivatele, pod kterym httpd bezi, takze cgi
> skripty muzou delat paseku i tady.

No ano, to je riziko. Ale taky vyhoda, kvuli ktere bych to chtel. Ja
bych rad mel moznost poslat Apachovi kill -HUP i jinym uzivatelem,
nez rootem. Takhle musi delat rotovani logu root a to se mi
moc nelibi.

Logy muzes otevrit jeste jako root a pak udelat setuid.

A navic i kdyz apache je slusne testovany, kdo vi jestli se nenajde
nejaky exploit pro ten parent process? (trebaze cast mezi accept
& fork je jiste mala)

Kazdopadne vidim, ze ta moznost asi neni (krome patche na bindovani
portu < 1024 (diky za opravu, Pavle)

					Edheldil
-- 
GCM/IT d- s:+ a- C++(+++) ULOI++++$ P++ L+++>++++ E+ W++
N w--- PS+ PE++ Y+ PGP R+ tv- b+++ D+ e+++ y+


Další informace o konferenci Linux