cgi jako root
Martin Povolny
xpovolny na fi.muni.cz
Neděle Září 8 10:59:33 CEST 2002
Sat, 7 Sep 2002 19:03:54 +0000 (UTC), Petr Klimovic napsal:
> Modelova situace:
>
> Server s mnoha uzivateli, kteri maji mit pristup pres webove rozhrani
> ke konfiguraci svych domen. CGI skripty tedy musi mit moznost
> modifikovat konfiguraci bindu a restartovat jej. To muze jen root.
> Mohu samozrejme udelat skript jako setuid, ale to je fuj, takze jaka
> je jina moznost?
Rozhodne nedoporucuji delat setuid [zvlaste ne na roota] primo ty cgi
scripty.
To uz je lepsi napriklad tu malinkou cast, kterou chtece provadet pod
rootem udelat jinym scriptem (ktery nedela nic jineho) a ten dat setuid.
Dalsi moznosti je vhodne nastaveni prav/vlastniku a setuid na nekoho
jineho.
Dalsi moznosti je pouziti velmi sikovneho programu "sudo" [samozrejme
povolit jen nejnutnejsi minimum].
>
> Kdyz napisu demona, ktery pobezi pod rootem a bude tyto sluzby
> vykonavat pro cgi skripty, stejne by se mu musely ony skripty nejak
> identifikovat, ze na to maji pravo. Jak?
Toto mi prijde zbytecne komplikovane a stejne to problem neresi.
--
Martin Povolný, xpovolny na fi.muni.cz, http://www.fi.muni.cz/~xpovolny
Další informace o konferenci Linux