cgi jako root
Jirka Kosina
jikos na jikos.cz
Neděle Září 8 00:03:25 CEST 2002
On Sat, 7 Sep 2002, Petr Klimovic wrote:
> Modelova situace:
Ze by nedavno hackly jinak.cz? ;)
> Server s mnoha uzivateli, kteri maji mit pristup pres webove rozhrani
> ke konfiguraci svych domen. CGI skripty tedy musi mit moznost
> modifikovat konfiguraci bindu a restartovat jej. To muze jen root.
> Mohu samozrejme udelat skript jako setuid, ale to je fuj, takze jaka
> je jina moznost?
Na editaci konfiguracnich souboru roota jiste nepotrebujete. Staci tak
skupinoveho vlastnika zonovych souboru stejneho uzivatele, pod kterym bezi
apache (resp. skupinu), a pravo zapisu daneho uzivatele do daneho souboru
(provadet zmeny v dane zone) si kontrolujte uvnitr toho CGI skiriptu.
Co se tyce restartu nameserveru, to uz tak jednoduche neni...bud ho muzete
cronem restartovat nejak periodicky (DNS typicky nebyva sluzba, kde minuty
hraji roli, zvlast pri vhodne nastavenem TTL), a nebo pouzit nejake
prostredky, kterymi zajistite, ze se nameserver restartuje vzdy, kdy je to
treba (moznosti je nekolik - napriklad ten cgi skript muze nekde vytvorit
nejaky docasny soubor jako priznak, ze byla provedena zmena, a nekde vam
pobezi neco, co ten priznak bude velice casto kontrolovat...nebo vetsi
kanon: napriklad dnotify od kernelu - viz dokumentace kernelu:
Documentation/dnotify.txt).
--
JiKos.
Další informace o konferenci Linux