Hi Liste!
Ich möchte CGI-Programme (Perl) aus localhost/cgi-bin heraus ausführen.
Als gewöhnlicher User erhalte ich jedoch von Apache eine Fehlermeldung
bezüglich fehlender Zugriffsrechte. Als root zuckt es.
Da ich mit Apache nicht vertraut bin, konnte ich bislang nur den
folgenden Eintrag in httpd.conf ausmachen, der mir allerdings in
Ordnung zu sein scheint:
Hallo Matthias! Hast Du die Datei in dem Verzeichnis ausführbar gemacht? Darf überhaupt jemand anderes als der (die/das???) Root auf dieses Verzeichnis zugreifen? Gruß, Uli
Ich möchte CGI-Programme (Perl) aus localhost/cgi-bin heraus ausführen. Als gewöhnlicher User erhalte ich jedoch von Apache eine Fehlermeldung bezüglich fehlender Zugriffsrechte. Als root zuckt es.
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Sam, 04 Mär 2000 schrieb Ulrich Klenk:
Hallo Matthias! Hast Du die Datei in dem Verzeichnis ausführbar gemacht? Darf überhaupt jemand anderes als der (die/das???) Root auf dieses Verzeichnis zugreifen?
Die Rechte stimmen. Das cgi-bin sowie die betreffenden Skripte sind ausführbar. Matthias -- SelfLinux http://www.selflinux.de Matthias.Kleine@selflinux.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Matthias Kleine wrote:
Hi Liste!
Ich möchte CGI-Programme (Perl) aus localhost/cgi-bin heraus ausführen. Als gewöhnlicher User erhalte ich jedoch von Apache eine Fehlermeldung bezüglich fehlender Zugriffsrechte. Als root zuckt es.
??? Was genau startest Du als root bzw. als normaler User? Wenn Du wirklich über Apache (und einem Browser ...) auf die Scripte zugreifst, ist Dein Benutzername völlig egal. Schließlich ist es ja de facto ein Zugriff über ein Netzwerk (und wenn es nur loopback ist). Apache weiß somit gar nicht, unter welchem Namen Du Dich eingeloggt hast ...
AllowOverride None Options None Order allow,deny Allow from all </Directory> Steht bei mir auch so drin.
Heiner -- Heiner Lamprecht Philosophenweg 79 D - 72076 Tuebingen email: heiner@kijumfo.de http://www.kijumfo.de GnuKontor: http://agenda21.ggi.uni-tuebingen.de/heiner/gk/ KFLog: http://agenda21.ggi.uni-tuebingen.de/heiner/kflog/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Son, 05 Mär 2000 schrieb Heiner Lamprecht:
Ich möchte CGI-Programme (Perl) aus localhost/cgi-bin heraus ausführen. Als gewöhnlicher User erhalte ich jedoch von Apache eine Fehlermeldung bezüglich fehlender Zugriffsrechte. Als root zuckt es. ??? Was genau startest Du als root bzw. als normaler User? Wenn Du wirklich über Apache (und einem Browser ...) auf die Scripte zugreifst, ist Dein Benutzername völlig egal. Schließlich ist es ja de facto ein Zugriff über ein Netzwerk (und wenn es nur loopback ist). Apache weiß somit gar nicht, unter welchem Namen Du Dich eingeloggt hast ...
Nichtdestotrotz zeigt sich genau dieses Verhalten. Netscape einmal als root, einmal als User starten. Beim Aufruf http://localhost/cgi-bin/test.pl über root-Netscape zuckt es, im andern Falls erhalte ich eine Fehlermeldung. Gruß, Matthias -- SelfLinux http://www.selflinux.de Matthias.Kleine@selflinux.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Matthias Kleine wrote:
Nichtdestotrotz zeigt sich genau dieses Verhalten. Netscape einmal als root, einmal als User starten. Beim Aufruf
http://localhost/cgi-bin/test.pl
über root-Netscape zuckt es, im andern Falls erhalte ich eine Fehlermeldung.
Was hat das Script bei dir für Rechte? Sieht bei mir so aus: -rwxr-xr-x 1 root root 400 Apr 6 1999 test.pl* AFAIk muss auch für das Verzeichnis das X-Bit für alle gesetzt sein, damit Programme gestartet werden. Dein Test funzt bei mir übrigens, sowohl mit dem lokalen Apache als auch mit dem Apache auf dem Server. Andreas -- ------------------------------------------------------------------- Andreas Bock registered Linux User #136542 mailto:a_bock@gmx.de ICQ #59734306 ------------------------------------------------------------------- --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Son, 05 Mär 2000, Andreas Bock wrote:
-rwxr-xr-x 1 root root 400 Apr 6 1999 test.pl*
AFAIk muss auch für das Verzeichnis das X-Bit für alle gesetzt sein, damit Programme gestartet werden.
Das x-Bit für Directories bedeutet, daß hineingewechselt werden darf. Gruß Jens -- registered linux user #130250 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Jens Tautenhahn schrieb am 07.Mär.2000:
On Son, 05 Mär 2000, Andreas Bock wrote:
-rwxr-xr-x 1 root root 400 Apr 6 1999 test.pl*
AFAIk muss auch für das Verzeichnis das X-Bit für alle gesetzt sein, damit Programme gestartet werden.
Das x-Bit für Directories bedeutet, daß hineingewechselt werden darf.
Wenn Du das x-Bit eines Verzeichnisses nicht hast, so kannst Du nichts in diesem Verzeichnis machen. Du kanst nicht darin lesen, schreiben irgendetwas darin ausführen oder auch nur darin hin wechseln. Das gilt auch für alle Unterverzeichnisse. Das x-Bit eines Verzeichniss nicht zu haben, bedeutet, daß das x-Bit des Besitzers nicht gesetzt ist, falls Du Besitzer des Verzeichnisses bist, oder daß das x-Bit der Gruppe nicht gesetzt ist, falls Du Mitglied der Gruppe des Verzeichnisses aber nicht Besitzer des Verzeichnisses bist, oder falls das x-Bit der Anderen nicht gesetzt ist, falls Du weder Besitzer noch Gruppenmitglied des Verzeichnisses bist. Das gilt alles nicht für den Superuser. Der darf alles. Mit anderen Worten, wenn Du irgendwo im Pfad zu einer Datei das x-Bit nicht hast, so nützen Dir die Rechte der Datei nichts. Bernd -- LILO funktioniert nicht? Hast Du /etc/lilo.conf verändert und vergessen, lilo aufzurufen? Ist Deine /boot-Partition unter der 1024 Zylindergrenze? Bei anderen LILO Problemen mal in der SDB nachschauen: http://localhost/doc/sdb/de/html/rb_bootdisk.html |Zufallssignatur 6 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Die, 07 Mär 2000 schrieb Bernd Brodesser:
Wenn Du das x-Bit eines Verzeichnisses nicht hast, so kannst Du nichts in diesem Verzeichnis machen. Du kanst nicht darin lesen, schreiben irgendetwas darin ausführen oder auch nur darin hin wechseln.
Warum nicht wechseln? Gerade das geht. Gruß, Matthias -- Warning: This message is written with an unpatched version of kmail. Please use a Latin-1 charset for reading. SelfLinux http://www.selflinux.de Matthias.Kleine@selflinux.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Die, Mär 07, 2000 at 10:39:51 +0100, Matthias Kleine wrote:
Am Die, 07 Mär 2000 schrieb Bernd Brodesser:
Wenn Du das x-Bit eines Verzeichnisses nicht hast, so kannst Du nichts in diesem Verzeichnis machen. Du kanst nicht darin lesen, schreiben irgendetwas darin ausführen oder auch nur darin hin wechseln.
Warum nicht wechseln? Gerade das geht.
Wie das? Ich habe auf Bernds Mail hin etwas experimentiert, da ich durch die Aussage *nichts geht mehr* etwas verunsichert war. Also habe ich Folgendes veranstaltet: mkdir div; chmod a-x div Die Rechte sahen dann brav so aus: drw-r--r-- Danach habe ich mit cp, cat >, ls, cd versucht, dem div-Verzeichnis irgendwas zu entlocken, das Ergebnis war immer: permission denied Das Einzige, was funktioniert ist rmdir div Das macht mich jetzt ziemlich traurig :-( IMHO wird mit dieser Wirkung des x-Bits der ganze schöne Rechte-Mechanismus von Unix ausgehebelt. Das Entziehen des x-Bits wirkt wie chmod a-rwx und das ist IMHO eigentlich nicht Sinn der Sache! So wie ich Unix kenne sollte es eigentlich so ablaufen: r = Lesen des Verzeichnis, also sollte ein ls div noch laufen, ebenso cat div/datei (ich lese dabei die Informationen aus der Verzeichnis-Inode) w = Schreiben; damit sollte cp datei div, rm div/datei laufen (ich modifiziere die Verzeichnis-Inode). x = cd; Wechseln in das Verzeichnis Warum dieses Verhalten? Damit wirkt das x-Bit ja wie eine Art Überbit und eigentlich herrscht doch für alle Bits friedliche Koexistenz. Kann man das beeinflussen (ohne sich die Quellen vornehmen zu müssen)? Jan --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Mit, 08 Mär 2000 schrieb Jan Trippler:
Warum dieses Verhalten? Damit wirkt das x-Bit ja wie eine Art Überbit und eigentlich herrscht doch für alle Bits friedliche Koexistenz. Kann man das beeinflussen (ohne sich die Quellen vornehmen zu müssen)?
Das x-Bit für Verzeichnisse erlaubt oder verbietet das Wechseln dorthin, und nur das. Wenn Du in einem Verzeichnis lesen willst, mußt Du erst dorthin wechseln. Wenn Du etwas schreiben oder ausführen willst, ebenso. Das ist soweit schon konsistent. Matthias -- Warning: This message is written with an unpatched version of kmail. Please use a Latin-1 charset for reading. SelfLinux http://www.selflinux.de Matthias.Kleine@selflinux.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Mit, Mär 08, 2000 at 08:11:24 +0100, Matthias Kleine wrote:
Das x-Bit für Verzeichnisse erlaubt oder verbietet das Wechseln dorthin, und nur das. Wenn Du in einem Verzeichnis lesen willst, mußt Du erst dorthin wechseln. Wenn Du etwas schreiben oder ausführen willst, ebenso. Das ist soweit schon konsistent.
Warum muss ich in ein Verzeichnis wechseln, wenn ich darin etwas lesen will? Ich habe noch ein wenig weiter experimentiert und bin teilweise wieder glücklich ;-) Wenn man einen ls * im ../div absetzt, dann kriegt man den Inhalt des Verzeichnisses ohne Probleme angezeigt. Wenn man ein ls div macht, kommt zwar ein Fehler, aber einer für jede Datei in div! Macht man ein ls -l *, dann kommt div ohne Fehlermeldung, aber mit *total 0* (also ohne Inhalt) daher. Also funktioniert Lesen, nur will der ls aber anscheinend abhängig von der Methode des Aufrufs doch hineinwechseln (wahrscheinlich um ein paar zusätzliche Daten aus den Inodes der Dateien zu lesen). Jan --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Mit, 08 Mär 2000 schrieb Jan Trippler:
Warum muss ich in ein Verzeichnis wechseln, wenn ich darin etwas lesen will?
Das Verhalten von ls verstehe ich so: Der Aufruf "ls div" entspricht dem Versuch, nach div zu wechseln und dort "ls *" auszuführen. Das scheitert, weil ich in div eben nichts ausführen darf. Daher für jeden einzelnen Versuch eine Fehlermeldung. Gruß, Matthias -- Warning: This message is written with an unpatched version of kmail. Please use a Latin-1 charset for reading. SelfLinux http://www.selflinux.de Matthias.Kleine@selflinux.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Matthias Kleine schrieb in 0,7K (23 Zeilen):
Am Mit, 08 Mär 2000 schrieb Jan Trippler:
Warum muss ich in ein Verzeichnis wechseln, wenn ich darin etwas lesen will?
Das Verhalten von ls verstehe ich so: Der Aufruf "ls div" entspricht dem Versuch, nach div zu wechseln und dort "ls *" auszuführen. Das scheitert, weil ich in div eben nichts ausführen darf. Daher für jeden einzelnen Versuch eine Fehlermeldung.
Nein. Hat mit _ausfuehren_ nix zu tuen. Mit reinwechseln schon. ~/T > alias ls alias ls='ls $LS_OPTIONS' ~/T > bash ~/T > PS1="$ " $ unalias ls $ ls -laF total 7 drwxr-xr-x 3 weissel users 1024 Mar 12 17:53 ./ drwxr-x--- 54 weissel users 5120 Mar 12 17:53 ../ drw-rw-rw- 2 weissel users 1024 Mar 12 17:56 t1/ $ ls t1 TEST TEST2 TEST3 TEST4 TEST5 $ ls -la t1 ls: t1/.: Permission denied ls: t1/..: Permission denied ls: t1/TEST: Permission denied ls: t1/TEST2: Permission denied ls: t1/TEST3: Permission denied ls: t1/TEST4: Permission denied ls: t1/TEST5: Permission denied total 0 $ strace ls t1/ 2>&1 | less $ strace ls -l t1/ 2>&1 | less [...] lstat("t1/.", 0xbffff598) = -1 EACCES (Permission denied) write(2, "ls: ", 4ls: ) = 4 write(2, "t1/.", 4t1/.) = 4 write(2, ": Permission denied", 19: Permission denied) = 19 write(2, "\n", 1 ) = 1 [...] $ exit ~/T > -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Wolfgang Weisselberg wrote on Sun, Mar 12, 2000 at 18:07 +0100:
Nein. Hat mit _ausfuehren_ nix zu tuen. Mit reinwechseln schon.
$ strace ls -l t1/ 2>&1 | less
Yepp, da sieht man einmal mehr, was "ls" alles so kann/macht. Man denkt vielleicht, daß "ls" mit "dir" von DOS/Win verwandt ist, aber nein, es ist ein komplexes Tool... oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Matthias Kleine schrieb am 07.Mär.2000:
Am Die, 07 Mär 2000 schrieb Bernd Brodesser:
Wenn Du das x-Bit eines Verzeichnisses nicht hast, so kannst Du nichts in diesem Verzeichnis machen. Du kanst nicht darin lesen, schreiben irgendetwas darin ausführen oder auch nur darin hin wechseln.
Warum nicht wechseln? Gerade das geht.
Wie denn? Bernd -- Homepages von deutschsprachigen Linux-Gurus: Kristian Köhntopp: http://www.koehntopp.de/kris/artikel/ Sven Guckes: http://www.math.fu-berlin.de/~guckes/sven Robin S Socha: http://socha.net/index2.html |Zufallssignatur 10 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Mit, 08 Mär 2000 schrieb Bernd Brodesser:
Am Die, 07 Mär 2000 schrieb Bernd Brodesser:
Wenn Du das x-Bit eines Verzeichnisses nicht hast, so kannst Du nichts in diesem Verzeichnis machen. Du kanst nicht darin lesen, schreiben irgendetwas darin ausführen oder auch nur darin hin wechseln.
Warum nicht wechseln? Gerade das geht.
Wie denn?
Sorry, ich hatte das verkehrtrum gelesen. Nämlich so: d--x--x--x Das x-Bit für ein Verzeichnis bedeutet eben *im wesentlichen*, daß man nicht dorthin wechseln darf. Gruß, Matthias -- Warning: This message is written with an unpatched version of kmail. Please use a Latin-1 charset for reading. SelfLinux http://www.selflinux.de Matthias.Kleine@selflinux.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Mit, 08 Mär 2000 schrieb Matthias Kleine:
Sorry, ich hatte das verkehrtrum gelesen. Nämlich so:
d--x--x--x
Das x-Bit für ein Verzeichnis bedeutet eben *im wesentlichen*, daß man nicht dorthin wechseln darf.
... wenn es nicht gesetzt ist. (Nur um Mißverständnisse zu vermeiden.) Matthias -- Warning: This message is written with an unpatched version of kmail. Please use a Latin-1 charset for reading. SelfLinux http://www.selflinux.de Matthias.Kleine@selflinux.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (9)
-
a_bock@gmx.de -
B.Brodesser@online-club.de -
heiner@kijumfo.de -
Jan.Trippler@t-online.de -
Matthias.Kleine@selflinux.de -
shogun@tausys.franken.de -
steffen@dett.de -
uli.klenk@gmx.de -
weissel@ph-cip.uni-koeln.de