Ich habe auf meinem Router ein cgi-Script (perl), welches über den Befehl 'system' ein über sudo abgesichertes Shellscript ausführt, das dann schließlich meinen Provider anwählt. Das cgi-Script ist mit einem Passwort abgesichert und hat die Rechte "wwwrun.root 700". Ich halte das für sicher. Mir ist kein Weg bekannt, wie ein normaler User zum User wwwrun werden könnte. Gibt es einen? Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Carsten Meyer wrote on Sun, Mar 05, 2000 at 21:23 +0100:
Passwort abgesichert und hat die Rechte "wwwrun.root 700".
Ich halte das für sicher. Mir ist kein Weg bekannt, wie ein normaler User zum User wwwrun werden könnte. Gibt es einen?
Bestimmt :) Wichtig ist, daß User keine CGI-Scripte starten dürfen (es sei denn, Du verwendest SuExec), denn sonst laufen die nämlich unter wwwrun Rechten. Dazu mußt Du AllowOverride für die Homes entsprechend einschränken, und aufpassen, nix zu vergessen (evtl. kann man auch was mit Symlinks trixen oder so)... Wenn Benutzer Seiten über UserDir (also mit http://server/~user) machen dürfen, am besten SuExec verwenden. Sonst kann man schnell mal was vergessen oder verkonfigurieren. oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Sun, 05 Mar 2000, Steffen Dettmer wrote:
* Carsten Meyer wrote on Sun, Mar 05, 2000 at 21:23 +0100:
Passwort abgesichert und hat die Rechte "wwwrun.root 700". Ich halte das für sicher. Mir ist kein Weg bekannt, wie ein normaler User zum User wwwrun werden könnte. Gibt es einen?
Wichtig ist, daß User keine CGI-Scripte starten dürfen (es sei denn, Du verwendest SuExec), denn sonst laufen die nämlich unter wwwrun Rechten. Dazu mußt Du AllowOverride für die Homes entsprechend einschränken, und aufpassen, nix zu vergessen (evtl. kann man auch was mit Symlinks trixen oder so)...
Neulich in meiner /etc/httpd/httpd.conf: <Directory /> Options -FollowSymLinks AllowOverride None </Directory> Das war es, was Du meintest, oder? ;-) Und bei 700-Rechten ist es mit cm2:~ # /usr/local/httpd/cgi-bin/bar.pl Essig. Nicht mal ein "nope, is nich!" :-) Sonst noch Einfälle? Das kann doch nicht so unproblematisch sein ..? Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On 8 Mar 2000 22:21:13 +0100, you wrote:
Wichtig ist, daß User keine CGI-Scripte starten dürfen (es sei denn, Du verwendest SuExec), denn sonst laufen die nämlich unter wwwrun Rechten.
Sonst noch Einfälle? Das kann doch nicht so unproblematisch sein ..?
Wenn in der neuen SuSE immer noch der Apache mit PHP für
Userverzeichnisse installiert wird, dann ist das eine wunderbare
Methode, wwwuser zu sein.
Carsten Meyer schrieb in 0,6K (15 Zeilen):
Ich halte das für sicher. Mir ist kein Weg bekannt, wie ein normaler User zum User wwwrun werden könnte. Gibt es einen?
Wenn wwwrun in /etc/passwd wwwrun:x:30:65534:Daemon user for apache:/tmp:/bin/bash ^ hat und in /etc/shadow wwwrun:*:8902:0:10000:::: ^ hat, sprich kein Passwort gueltig ist, dann geht's immer noch ueber su root oder sudo / su1.[1][2] Dass muss natuerlich von root so eingerichtet sein ... :-) -Wolfgang [1] sonst eben auch ueber su wwwrun oder login als wwwrun mit dem richtigen Passwort. [2] Dann gibt's noch die ueblichen suid-apps mit Sicherheitsloechern oder suid-Trojaner ... --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (4)
-
cmeyer@mail.com -
hauke@burse.uni-hamburg.de -
steffen@dett.de -
weissel@ph-cip.uni-koeln.de