apache 2.0.40 z RPM ,suexec a RH 9

Mgr. Jaroslav Filip filip na ol.mcs.cz
Středa Červen 25 18:26:10 CEST 2003


Ahoj vsichni!

Uz se nekolik dnu trapim s jednou veci a rozhodl jsem se poprosit o
radu. Prosel jsem uz archiv konference a vygoogloval snad vsechno
mozne i nemozne, ale reseni na muj problem jsem nenasel.

Mam nainstalovan RedHat 9 s apachem httpd-2.0.40-21.3 instalovanym z
RPM-ka. Na tomto pocitaci jsem si chtel udelat v PHP skripty, pomoci nichz bych
upravoval nektere konfiguraky v linuxu. A k tomu potrebuji prava
root-a. PHP spoustim jako CGI. Myslel jsem si, ze staci nastavit
vlastnika skriptu na root:root a nastavit SUID bit a bude to OK
(takhle se to kdysi delalo :o). Ale narazil jsem. Po chvili hledani
jsem zjistil, ze k tomuto se pouziva program suexec a direktiva
SuexecUserGroup s predchozim naloadovanim modulu mod_suexec.so.
Informace o suexec prikladam:

suexec -V
 -D AP_DOC_ROOT="/var/www"
 -D AP_GID_MIN=500
 -D AP_HTTPD_USER="apache"
 -D AP_LOG_EXEC="/var/log/httpd/suexec.log"
 -D AP_SAFE_PATH="/usr/local/bin:/usr/bin:/bin"
 -D AP_UID_MIN=500
 -D AP_USERDIR_SUFFIX="public_html"

No a problem je v tom, ze suexec je standardne zkompilovan s
AP_UID/GID_MIN=500 tj. roota nemuzu pouzit. Nevite jak toto omezeni obejit? Ale nechci
kompilovat apache, protoze chci mit apache nainstalovaneho pomoci RPM
- kvuli budoucimu lehcimu updatu. V suexec logu mi to pise:

[2003-06-23 13:21:28]: uid: (48/apache) gid: (48/48) cmd: vytvorit.php
[2003-06-23 13:21:28]: cannot run as forbidden uid (48/vytvorit.php)

Coz potvrzuje moje podezreni na AP_UID/GID_MIN=500

Da se to nejak bez rekompilace vyresit? Fakt me to nastvalo ... takto
omezit uzivatele ...

Predem diky, za jakekoliv nakopnuti

S pozdravem Jaroslav Filip

-- 
Mgr. Jaroslav Filip 
mobil: +420604310462, +420605287123 
ICQ cislo: 20517349 
mailto:filip na ol.mcs.cz 


-----BEGIN PGP PUBLIC KEY BLOCK----- 
Version: 2.6 

mQCPAz3BTNcBbQEEAOnCpk0Q1X9H9cnVKYJjv8HwVGkW5EQoYl2NkDawuADvzgEL 
1OXBjfJtam8tcJQNr1McdqGsBTyur0Jpp1k8ilx0DtpJ6abbFwXFS7pGdPHRA8TX 
13ELRPt9EcOL+1ukRlaO1Avw9h9gsEFSe/PmeQ/JUaNKWxSvLoTWVUukP9GfABEB 
AAG0JU1nci4gSmFyb3NsYXYgRmlsaXAgPGZpbGlwQG9sLm1jcy5jej6JAJUDBRA9 
wUzXhNZVS6Q/0Z8BAdWIBADMeQwG41JVOo9TQKV2eUY+A/GedbXUGgrcpt1ZoNnQ 
Gn9k9YrWfu5pYx6I1Vm1RxwFJDopIEMGYkHS2+lynNwv17V6i+/dcKk4w05qVRMV 
tOob8oyObO+KEUdBwMcAQKjh/fcc5vsL+SPq9HGn4q7ggwdFN4ttVZzcYdB+jVoR 
fg== 
=svV0 
-----END PGP PUBLIC KEY BLOCK----- 




Další informace o konferenci Linux