cgi jako root

[Matthes]

A co Apache modul SuExec? Ten je myslim stvoreny k temto ucelum a jak
nazev napovida, dovoluje nastavovat prava jineho uzivatele pro beh cgi
scriptu. Nicmene nemam s nim zkusenosti, nastesti jsem podobnou vec jeste
nepotreboval ;)

http://httpd.apache.org/docs/suexec.html

Matthes


MP> Sat, 7 Sep 2002 19:03:54 +0000 (UTC), Petr Klimovic napsal:
>> Modelova situace:
>> 
>> Server s mnoha uzivateli, kteri maji mit pristup pres webove rozhrani
>> ke konfiguraci svych domen. CGI skripty tedy musi mit moznost
>> modifikovat konfiguraci bindu a restartovat jej. To muze jen root.
>> Mohu samozrejme udelat skript jako setuid, ale to je fuj, takze jaka
>> je jina moznost?

MP> Rozhodne nedoporucuji delat setuid [zvlaste ne na roota] primo ty cgi
MP> scripty.

MP> To uz je lepsi napriklad tu malinkou cast, kterou chtece provadet pod
MP> rootem udelat jinym scriptem (ktery nedela nic jineho) a ten dat setuid.

MP> Dalsi moznosti je vhodne nastaveni prav/vlastniku a setuid na nekoho
MP> jineho.

MP> Dalsi moznosti je pouziti velmi sikovneho programu "sudo" [samozrejme
MP> povolit jen nejnutnejsi minimum].

>> 
>> Kdyz napisu demona, ktery pobezi pod rootem a bude tyto sluzby
>> vykonavat pro cgi skripty, stejne by se mu musely ony skripty nejak
>> identifikovat, ze na to maji pravo. Jak?

MP> Toto mi prijde zbytecne komplikovane a stejne to problem neresi.