apache 2.0.40 z RPM ,suexec a RH 9
Mgr. Jaroslav Filip
filip na ol.mcs.cz
Středa Červen 25 18:26:10 CEST 2003
Ahoj vsichni!
Uz se nekolik dnu trapim s jednou veci a rozhodl jsem se poprosit o
radu. Prosel jsem uz archiv konference a vygoogloval snad vsechno
mozne i nemozne, ale reseni na muj problem jsem nenasel.
Mam nainstalovan RedHat 9 s apachem httpd-2.0.40-21.3 instalovanym z
RPM-ka. Na tomto pocitaci jsem si chtel udelat v PHP skripty, pomoci nichz bych
upravoval nektere konfiguraky v linuxu. A k tomu potrebuji prava
root-a. PHP spoustim jako CGI. Myslel jsem si, ze staci nastavit
vlastnika skriptu na root:root a nastavit SUID bit a bude to OK
(takhle se to kdysi delalo :o). Ale narazil jsem. Po chvili hledani
jsem zjistil, ze k tomuto se pouziva program suexec a direktiva
SuexecUserGroup s predchozim naloadovanim modulu mod_suexec.so.
Informace o suexec prikladam:
suexec -V
-D AP_DOC_ROOT="/var/www"
-D AP_GID_MIN=500
-D AP_HTTPD_USER="apache"
-D AP_LOG_EXEC="/var/log/httpd/suexec.log"
-D AP_SAFE_PATH="/usr/local/bin:/usr/bin:/bin"
-D AP_UID_MIN=500
-D AP_USERDIR_SUFFIX="public_html"
No a problem je v tom, ze suexec je standardne zkompilovan s
AP_UID/GID_MIN=500 tj. roota nemuzu pouzit. Nevite jak toto omezeni obejit? Ale nechci
kompilovat apache, protoze chci mit apache nainstalovaneho pomoci RPM
- kvuli budoucimu lehcimu updatu. V suexec logu mi to pise:
[2003-06-23 13:21:28]: uid: (48/apache) gid: (48/48) cmd: vytvorit.php
[2003-06-23 13:21:28]: cannot run as forbidden uid (48/vytvorit.php)
Coz potvrzuje moje podezreni na AP_UID/GID_MIN=500
Da se to nejak bez rekompilace vyresit? Fakt me to nastvalo ... takto
omezit uzivatele ...
Predem diky, za jakekoliv nakopnuti
S pozdravem Jaroslav Filip
--
Mgr. Jaroslav Filip
mobil: +420604310462, +420605287123
ICQ cislo: 20517349
mailto:filip na ol.mcs.cz
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6
mQCPAz3BTNcBbQEEAOnCpk0Q1X9H9cnVKYJjv8HwVGkW5EQoYl2NkDawuADvzgEL
1OXBjfJtam8tcJQNr1McdqGsBTyur0Jpp1k8ilx0DtpJ6abbFwXFS7pGdPHRA8TX
13ELRPt9EcOL+1ukRlaO1Avw9h9gsEFSe/PmeQ/JUaNKWxSvLoTWVUukP9GfABEB
AAG0JU1nci4gSmFyb3NsYXYgRmlsaXAgPGZpbGlwQG9sLm1jcy5jej6JAJUDBRA9
wUzXhNZVS6Q/0Z8BAdWIBADMeQwG41JVOo9TQKV2eUY+A/GedbXUGgrcpt1ZoNnQ
Gn9k9YrWfu5pYx6I1Vm1RxwFJDopIEMGYkHS2+lynNwv17V6i+/dcKk4w05qVRMV
tOob8oyObO+KEUdBwMcAQKjh/fcc5vsL+SPq9HGn4q7ggwdFN4ttVZzcYdB+jVoR
fg==
=svV0
-----END PGP PUBLIC KEY BLOCK-----
Další informace o konferenci Linux