Suse apache mit --enable-suexec option?
Hallo Liste, wie kann ich feststellen, ob der Suse Apache mit der --enable-suexec option kompiliert ist? Oder weiß das jemand ...vielleicht auch noch was es bedeutet(und kann es kurz erklären)? G. Roland
Klarheit sollte der Befehl suexec2 -V bringen Gruss Kai Roland May schrieb:
Hallo Liste,
wie kann ich feststellen, ob der Suse Apache mit der --enable-suexec option kompiliert ist?
Oder weiß das jemand ...vielleicht auch noch was es bedeutet(und kann es kurz erklären)?
G. Roland
Am Dienstag, 21. September 2004 00:08 schrieb Kai Schmidt:
Klarheit sollte der Befehl suexec2 -V bringen
Gruss Kai
Roland May schrieb:
Hallo Liste,
wie kann ich feststellen, ob der Suse Apache mit der --enable-suexec option kompiliert ist?
Oder weiß das jemand ...vielleicht auch noch was es bedeutet(und kann es kurz erklären)?
G. Roland Danke Kai,
folgende Antwort bekam ich -D AP_DOC_ROOT="/srv/www/htdocs" -D AP_GID_MIN=96 -D AP_HTTPD_USER="wwwrun" -D AP_LOG_EXEC="/var/log/apache2/suexec.log" -D AP_SAFE_PATH="/usr/local/bin:/usr/bin:/bin" -D AP_UID_MIN=96 -D AP_USERDIR_SUFFIX="public_html" was heißt das für mich. Ich möchte gerne folgendes zum Laufen bringen: http://forums.gentoo.org/viewtopic.php?p=1228793#1228793 Seite 2 ganz unten Danke Roland
Nun, das heisst für Dich, das suexec enabled ist, das Modul schreibt vor, das suexec nur unterhalb von /srv/www/htdocs funktioniert (-D AP_DOC_ROOT="/srv/www/htdocs"), Das suexec nur mit der Gruppe 96 (-D AP_GID_MIN=96) und UID 96 (-D AP_UID_MIN=96) geht. Das Logfile von suexec findest du unter /var/log/apache2/suexec.log (-D AP_LOG_EXEC="/var/log/apache2/suexec.log") suexec ist im Grunde nichts anderes wie su, nur das bei suexec, nur die Applikationen unter einen anderen Benutzer ausgeführt werden, In Deinem Fall funktioniert das ganze aber nur dann, wenn sich das auszuführende Script unterhalb von /srv/www/htdocs befindet, und nur durch den User 96 ausgeführt wird. Du musst das aber auch in den entsprechenden Apache Config Dateien konfigurieren, das Suexec überhaupt genutzt wird. SuexecUserGroup USER GRUPPE in einer VHOST Definition langt da schon, und schon wird alles mit dem entsprechenden User ausgeführt, der aber bei Dir die USERID 96 haben muss. Siehe oben Gruss Kai Roland May schrieb:
Am Dienstag, 21. September 2004 00:08 schrieb Kai Schmidt:
Klarheit sollte der Befehl suexec2 -V bringen
Gruss Kai
Roland May schrieb:
Hallo Liste,
wie kann ich feststellen, ob der Suse Apache mit der --enable-suexec option kompiliert ist?
Oder weiß das jemand ...vielleicht auch noch was es bedeutet(und kann es kurz erklären)?
G. Roland
Danke Kai,
folgende Antwort bekam ich
-D AP_DOC_ROOT="/srv/www/htdocs" -D AP_GID_MIN=96 -D AP_HTTPD_USER="wwwrun" -D AP_LOG_EXEC="/var/log/apache2/suexec.log" -D AP_SAFE_PATH="/usr/local/bin:/usr/bin:/bin" -D AP_UID_MIN=96 -D AP_USERDIR_SUFFIX="public_html"
was heißt das für mich.
Ich möchte gerne folgendes zum Laufen bringen:
http://forums.gentoo.org/viewtopic.php?p=1228793#1228793
Seite 2 ganz unten
Danke Roland
On Tuesday 21 September 2004 08:31, Kai Schmidt wrote:
Nun, das heisst für Dich, das suexec enabled ist, das Modul schreibt vor, das suexec nur unterhalb von /srv/www/htdocs funktioniert (-D AP_DOC_ROOT="/srv/www/htdocs"), Das suexec nur mit der Gruppe 96 (-D AP_GID_MIN=96) und UID 96 (-D AP_UID_MIN=96) geht.
Nein. Wie man den Variablen eigentlich schon ansehen kann, handelt es sich bei der 96 um die _minimale_ UID, bzw. GID, die ein Benutzer haben muss, damit suexec funktioniert. Es geht also mit allen Benutzern >=96 und allen Gruppen >=96.
Das Logfile von suexec findest du unter /var/log/apache2/suexec.log (-D AP_LOG_EXEC="/var/log/apache2/suexec.log")
suexec ist im Grunde nichts anderes wie su, nur das bei suexec, nur die Applikationen unter einen anderen Benutzer ausgeführt werden,
Genau. Und das ist eigentlich schon Pflicht, wenn mehrere Benutzer auf einem Rechner CGIs ausführen können.
In Deinem Fall funktioniert das ganze aber nur dann, wenn sich das auszuführende Script unterhalb von /srv/www/htdocs befindet,
Genau.
und nur durch den User 96 ausgeführt wird.
Nein, s.o.
Du musst das aber auch in den entsprechenden Apache Config Dateien konfigurieren, das Suexec überhaupt genutzt wird.
SuexecUserGroup USER GRUPPE in einer VHOST Definition langt da schon, und schon wird alles mit dem entsprechenden User ausgeführt,
Ich kenne das nur als User foo Group bar in dem entsprechenden <VirtualHost> -Abschnitt, aber das kann sein, daß sich die Syntax bei Apache2 geändert hat. Auf den Webseiten des Apache-Projects befindet sich eine hervorragende Erklärung zu suexec. HTH, Martin
Martin Schmitz schrieb:
Das suexec nur mit der Gruppe 96 (-D AP_GID_MIN=96) und UID 96 (-D AP_UID_MIN=96) geht.
Nein. Wie man den Variablen eigentlich schon ansehen kann, handelt es sich bei der 96 um die _minimale_ UID, bzw. GID, die ein Benutzer haben muss, damit suexec funktioniert. Es geht also mit allen Benutzern >=96 und allen Gruppen >=96.
und nur durch den User 96 ausgeführt wird. Nein, s.o.
Ja, hast recht. Ich hatte da einen Gedankenfehler in meiner Konfiguration. Das gute an dieser Liste, man wird ab und an mal zum nachdenken gezwungen :-) Man sollte aber auch noch erwähnen das die entsprechenden UID/GID auch die Rechte an den entsprechenden auszuführenden Scripten besitzen, sonst geht es nicht. Kann man aber sehr schön in der suexec.log nachlesen. Gruss Kai
participants (3)
-
Kai Schmidt
-
Martin Schmitz
-
Roland May