WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Linux, UNIX, Open Source (http://www.wcm.at/forum/forumdisplay.php?f=13)
-   -   Apache - Suexec (http://www.wcm.at/forum/showthread.php?t=28347)

Sloter 18.08.2001 23:06
Apache - Suexec
 
Also ich habe da ein CGI-Script das mehrere Virtuelle Accounts nützen dürfen.

Alle virtuellen Hosts haben zusätzlich zu den normalen Einträgen folgende dazubekommen.

RewriteEngine On
RewriteRule ^/cgi-bin/script.pl$ /cgi-bin2/script.pl [PT,L]
RewriteRule ^/baseportal(.*)$
/cgi-bin2/script.pl?htx=/...domainname...$1 [QSA,PT]
ScriptAlias /cgi-bin2/ /www/69/cgi-bin/
Alias /bp-pics/ /www/69/html/bp-pics/

Rewrite funzt aber es kommt immer die Fehlermeldung über eine Miskonfiguration.
Habe schon alle Variationen mit den Rechten durchgespielt, klappt nicht.

Fehlermeldung aus /var/log/apache/suexec.log

[2001-08-18 21:31:08]: uid: (www14/www14) gid: (www/www) cmd:
script.pl
[2001-08-18 21:31:08]: file is writable by others:
(/www/69/cgi-bin/script.pl)

Kann mir da wer auf die Sprünge helfen, was da nicht funzt?

Danke

Sloter

Sloter 19.08.2001 12:53
Hat sich erledigt :)

Wer lesen kann ist wirklich im Vorteil, und wer viel ausprobiert hat auch manchmal Glück.

Sloter

cenus 23.08.2001 13:47
@sloter

und was war der fehler?

Sloter 23.08.2001 15:23
Na ja eigentlich mehrere Fehler.

Zuerst dachte ich mit den Rechten hat sich das erledigt.
Aber es gibt ca 15 Punkte bevor Suexec das Script dem perl-Wrapper die Datei übergibt.

Bei mir war es die falsche UID unter der das Script aufgerufen wird, somit verhindert Suexec den Zugriff auf das Script, da es ja in einem anderen Account liegt uns somit unter einer falschen UID aufgerufen wird.

Ich habe es gelöst in dem ich im Virtual-Host-Eintrag den selben user mit der gleichen Gruppe angegeben habe.

<virtual Host>
User user1
Group www
</virtual host>

Damit funzt jetzt zwar das Script das von dem anderen Account aufgerufen wird, aber selber kann der Besitzer keine Scripten raufladen und ausführen.

Suexec ist da sehr heikel und läßt eigentlich keinen Zugriff von aussen auf ein Perlscript zu.

Man kann aber Suexec mit einem Zusatz in der httpd.conf und mit Mod_perl aushebeln für bestimmte Accounts, aber die Sicherheit ist dann zum Teufel.

Sloter

cenus 23.08.2001 17:36
@sloter

danke fuer die umfassende antwort. muss ich mir gelegenheit einmal ansehen. fragt sich nur wann die gelegenheit kommt ;)


Alle Zeitangaben in WEZ +2. Es ist jetzt 13:40 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag