cgi jako root
Matthes
ornest na mistral.cz
Neděle Září 8 11:50:20 CEST 2002
A co Apache modul SuExec? Ten je myslim stvoreny k temto ucelum a jak
nazev napovida, dovoluje nastavovat prava jineho uzivatele pro beh cgi
scriptu. Nicmene nemam s nim zkusenosti, nastesti jsem podobnou vec jeste
nepotreboval ;)
http://httpd.apache.org/docs/suexec.html
Matthes
MP> Sat, 7 Sep 2002 19:03:54 +0000 (UTC), Petr Klimovic napsal:
>> Modelova situace:
>>
>> Server s mnoha uzivateli, kteri maji mit pristup pres webove rozhrani
>> ke konfiguraci svych domen. CGI skripty tedy musi mit moznost
>> modifikovat konfiguraci bindu a restartovat jej. To muze jen root.
>> Mohu samozrejme udelat skript jako setuid, ale to je fuj, takze jaka
>> je jina moznost?
MP> Rozhodne nedoporucuji delat setuid [zvlaste ne na roota] primo ty cgi
MP> scripty.
MP> To uz je lepsi napriklad tu malinkou cast, kterou chtece provadet pod
MP> rootem udelat jinym scriptem (ktery nedela nic jineho) a ten dat setuid.
MP> Dalsi moznosti je vhodne nastaveni prav/vlastniku a setuid na nekoho
MP> jineho.
MP> Dalsi moznosti je pouziti velmi sikovneho programu "sudo" [samozrejme
MP> povolit jen nejnutnejsi minimum].
>>
>> Kdyz napisu demona, ktery pobezi pod rootem a bude tyto sluzby
>> vykonavat pro cgi skripty, stejne by se mu musely ony skripty nejak
>> identifikovat, ze na to maji pravo. Jak?
MP> Toto mi prijde zbytecne komplikovane a stejne to problem neresi.
Další informace o konferenci Linux