Apache - Suexec

Sloter · 18.08.2001, 23:06

Also ich habe da ein CGI-Script das mehrere Virtuelle Accounts nützen dürfen.

Alle virtuellen Hosts haben zusätzlich zu den normalen Einträgen folgende dazubekommen.

RewriteEngine On
RewriteRule ^/cgi-bin/script.pl$ /cgi-bin2/script.pl [PT,L]
RewriteRule ^/baseportal(.*)$
/cgi-bin2/script.pl?htx=/...domainname...$1 [QSA,PT]
ScriptAlias /cgi-bin2/ /www/69/cgi-bin/
Alias /bp-pics/ /www/69/html/bp-pics/

Rewrite funzt aber es kommt immer die Fehlermeldung über eine Miskonfiguration.
Habe schon alle Variationen mit den Rechten durchgespielt, klappt nicht.

Fehlermeldung aus /var/log/apache/suexec.log

[2001-08-18 21:31:08]: uid: (www14/www14) gid: (www/www) cmd:
script.pl
[2001-08-18 21:31:08]: file is writable by others:
(/www/69/cgi-bin/script.pl)

Kann mir da wer auf die Sprünge helfen, was da nicht funzt?

Danke

Sloter

Sloter · 19.08.2001, 12:53

Hat sich erledigt

Wer lesen kann ist wirklich im Vorteil, und wer viel ausprobiert hat auch manchmal Glück.

Sloter

cenus · 23.08.2001, 13:47

@sloter

und was war der fehler?

Sloter · 23.08.2001, 15:23

Na ja eigentlich mehrere Fehler.

Zuerst dachte ich mit den Rechten hat sich das erledigt.
Aber es gibt ca 15 Punkte bevor Suexec das Script dem perl-Wrapper die Datei übergibt.

Bei mir war es die falsche UID unter der das Script aufgerufen wird, somit verhindert Suexec den Zugriff auf das Script, da es ja in einem anderen Account liegt uns somit unter einer falschen UID aufgerufen wird.

Ich habe es gelöst in dem ich im Virtual-Host-Eintrag den selben user mit der gleichen Gruppe angegeben habe.

<virtual Host>
User user1
Group www
</virtual host>

Damit funzt jetzt zwar das Script das von dem anderen Account aufgerufen wird, aber selber kann der Besitzer keine Scripten raufladen und ausführen.

Suexec ist da sehr heikel und läßt eigentlich keinen Zugriff von aussen auf ein Perlscript zu.

Man kann aber Suexec mit einem Zusatz in der httpd.conf und mit Mod_perl aushebeln für bestimmte Accounts, aber die Sicherheit ist dann zum Teufel.

Sloter

cenus · 23.08.2001, 17:36

@sloter

danke fuer die umfassende antwort. muss ich mir gelegenheit einmal ansehen. fragt sich nur wann die gelegenheit kommt

18.08.2001, 23:06	#1
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Apache - Suexec Also ich habe da ein CGI-Script das mehrere Virtuelle Accounts nützen dürfen. Alle virtuellen Hosts haben zusätzlich zu den normalen Einträgen folgende dazubekommen. RewriteEngine On RewriteRule ^/cgi-bin/script.pl$ /cgi-bin2/script.pl [PT,L] RewriteRule ^/baseportal(.*)$ /cgi-bin2/script.pl?htx=/...domainname...$1 [QSA,PT] ScriptAlias /cgi-bin2/ /www/69/cgi-bin/ Alias /bp-pics/ /www/69/html/bp-pics/ Rewrite funzt aber es kommt immer die Fehlermeldung über eine Miskonfiguration. Habe schon alle Variationen mit den Rechten durchgespielt, klappt nicht. Fehlermeldung aus /var/log/apache/suexec.log [2001-08-18 21:31:08]: uid: (www14/www14) gid: (www/www) cmd: script.pl [2001-08-18 21:31:08]: file is writable by others: (/www/69/cgi-bin/script.pl) Kann mir da wer auf die Sprünge helfen, was da nicht funzt? Danke Sloter

23.08.2001, 13:47	#3
cenus Elite Registriert seit: 07.06.2000 Beiträge: 1.428 Mein Computer	@sloter und was war der fehler? ____________________________________ lg, cenus ------------------ §1 Alle Tipps und Tricks sind ohne Garantie auf Korrektheit und Vollstaendigkeit. §2 Es wird von mir keine Haftung fuer etwaige entstandene Schaeden uebernommen. §3 Des weiteren distanziere ich mich von den von mir bekanntgegebenen Urls und Websites. ------------------ Schaetze das wars, oder habe ich was uebersehen?

23.08.2001, 17:36	#5
cenus Elite Registriert seit: 07.06.2000 Beiträge: 1.428 Mein Computer	@sloter danke fuer die umfassende antwort. muss ich mir gelegenheit einmal ansehen. fragt sich nur wann die gelegenheit kommt ____________________________________ lg, cenus ------------------ §1 Alle Tipps und Tricks sind ohne Garantie auf Korrektheit und Vollstaendigkeit. §2 Es wird von mir keine Haftung fuer etwaige entstandene Schaeden uebernommen. §3 Des weiteren distanziere ich mich von den von mir bekanntgegebenen Urls und Websites. ------------------ Schaetze das wars, oder habe ich was uebersehen?

19.08.2001, 12:53	#2
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Hat sich erledigt Wer lesen kann ist wirklich im Vorteil, und wer viel ausprobiert hat auch manchmal Glück. Sloter

23.08.2001, 15:23	#4
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Na ja eigentlich mehrere Fehler. Zuerst dachte ich mit den Rechten hat sich das erledigt. Aber es gibt ca 15 Punkte bevor Suexec das Script dem perl-Wrapper die Datei übergibt. Bei mir war es die falsche UID unter der das Script aufgerufen wird, somit verhindert Suexec den Zugriff auf das Script, da es ja in einem anderen Account liegt uns somit unter einer falschen UID aufgerufen wird. Ich habe es gelöst in dem ich im Virtual-Host-Eintrag den selben user mit der gleichen Gruppe angegeben habe. <virtual Host> User user1 Group www </virtual host> Damit funzt jetzt zwar das Script das von dem anderen Account aufgerufen wird, aber selber kann der Besitzer keine Scripten raufladen und ausführen. Suexec ist da sehr heikel und läßt eigentlich keinen Zugriff von aussen auf ein Perlscript zu. Man kann aber Suexec mit einem Zusatz in der httpd.conf und mit Mod_perl aushebeln für bestimmte Accounts, aber die Sicherheit ist dann zum Teufel. Sloter

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)