Hallo!
Ich versuche mittels eines <VirtualHost> Containers ein
CGI-Script auszuführen. Dies klappt auch, leider mit den falschen
Rechten. Deshalb habe ich folgendes eingefügt:
Hallo Stefan, hallo Leute, immer noch Probleme mit vbox? So langsam glaube ich ja, ein Anrufbeantworter wäre günstiger gekommen - und vor allem: einfacher zu konfigurieren ;-) Am Samstag, 20. Juli 2002 16:54 schrieb Stefan Schilling:
Ich versuche mittels eines <VirtualHost> Containers ein CGI-Script auszuführen. Dies klappt auch, leider mit den falschen Rechten. Deshalb habe ich folgendes eingefügt:
[...] User vbox Group users Dummerweise wird das Skript immer noch als User wwwrun, Gruppe nogroup ausgeführt. Was mache ich falsch? (Der Benutzer existiert natürlich).
Findet sich irgendwas interessantes in /var/log/httpd/error.log und suexec.log? Existiert die suexec.log überhaupt? Welche Rechte hat suexec (sollte 4711 bzw. -rws--x--x root:root sein)? Wenn jemand außer root Leserechte hat, verweigert suexec anscheinend seinen Dienst... Wenn suexec (genauer: der Apache) gestartet wird, erscheint ein Eintrag in der /var/log/httpd/error.log: [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) Ist dieser Eintrag vorhanden? Falls nicht, geh mal die Liste der Sicherheitsüberprüfungen durch, die in /usr/local/httpd/htdocs/manual/suexec.html.html (bei installierter Apache-Doku) zu finden ist. Gruß Christian Boltz -- Registrierter Linux-Nutzer #239431 Linux - life is too short for reboots.
Guten Tag Christian Boltz, Am Sonntag, 21. Juli 2002 um 00:01 schrieb Christian Boltz:
Hallo Stefan, hallo Leute,
immer noch Probleme mit vbox?
So langsam glaube ich ja, ein Anrufbeantworter wäre günstiger gekommen - und vor allem: einfacher zu konfigurieren ;-)
aber langweiliger, oder nicht?
Am Samstag, 20. Juli 2002 16:54 schrieb Stefan Schilling:
Ich versuche mittels eines <VirtualHost> Containers ein CGI-Script auszuführen. Dies klappt auch, leider mit den falschen Rechten. Deshalb habe ich folgendes eingefügt:
[...] User vbox Group users Dummerweise wird das Skript immer noch als User wwwrun, Gruppe nogroup ausgeführt. Was mache ich falsch? (Der Benutzer existiert natürlich).
Findet sich irgendwas interessantes in /var/log/httpd/error.log und suexec.log? Existiert die suexec.log überhaupt?
beide existieren, bleiben aber bis auf u.s. Eintrag leer.
Welche Rechte hat suexec (sollte 4711 bzw. -rws--x--x root:root sein)? Wenn jemand außer root Leserechte hat, verweigert suexec anscheinend seinen Dienst...
rwsr-xr-x 1 root root 22007 Mar 5 12:42 suexec
Wenn suexec (genauer: der Apache) gestartet wird, erscheint ein Eintrag in der /var/log/httpd/error.log: [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) Ist dieser Eintrag vorhanden?
ja.
Falls nicht, geh mal die Liste der Sicherheitsüberprüfungen durch, die in /usr/local/httpd/htdocs/manual/suexec.html.html (bei installierter Apache-Doku) zu finden ist.
diese Doku hat mich ja überhaupt erst auf die Idee gebracht, es mit User + Group zu versuchen. Ansonsten habe ich das mal überprüft, bin jedoch nicht bei allen Einstellungen so ganz sicher.
Gruß
Christian Boltz
jo, schönes Wochenende und vielen Dank, Stefan -- Mit freundlichen Grüssen Stefan Schilling mailto:mail.suse@gmx.de
Hallo Stefan, hallo Leute, Am Sonntag, 21. Juli 2002 00:35 schrieb Stefan Schilling:
Am Sonntag, 21. Juli 2002 um 00:01 schrieb Christian Boltz:
immer noch Probleme mit vbox?
So langsam glaube ich ja, ein Anrufbeantworter wäre günstiger gekommen - und vor allem: einfacher zu konfigurieren ;-)
aber langweiliger, oder nicht?
*LoL*
Am Samstag, 20. Juli 2002 16:54 schrieb Stefan Schilling:
Ich versuche mittels eines <VirtualHost> Containers ein CGI-Script auszuführen. Dies klappt auch, leider mit den falschen Rechten. Deshalb habe ich folgendes eingefügt:
[...] User vbox Group users Dummerweise wird das Skript immer noch als User wwwrun, Gruppe nogroup ausgeführt. Was mache ich falsch? (Der Benutzer existiert natürlich).
Findet sich irgendwas interessantes in /var/log/httpd/error.log und suexec.log? Existiert die suexec.log überhaupt?
beide existieren, bleiben aber bis auf u.s. Eintrag leer.
Welche Rechte hat suexec (sollte 4711 bzw. -rws--x--x root:root sein)? Wenn jemand außer root Leserechte hat, verweigert suexec anscheinend seinen Dienst...
rwsr-xr-x 1 root root 22007 Mar 5 12:42 suexec
chmod "Echt Kölnisch Wasser" (4711) ;-) anders ausgedrückt: Leserechte für Gruppe und Rest der Welt wegnehmen, Ausführ-Recht reicht. Das war bei mir der anscheinend Grund, warum suexec nicht wollte...
Wenn suexec (genauer: der Apache) gestartet wird, erscheint ein Eintrag in der /var/log/httpd/error.log: [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) Ist dieser Eintrag vorhanden?
ja.
auch aktuell (z. B. nach rcapache restart)?
Falls nicht, geh mal die Liste der Sicherheitsüberprüfungen durch, die in /usr/local/httpd/htdocs/manual/suexec.html.html (bei installierter Apache-Doku) zu finden ist.
diese Doku hat mich ja überhaupt erst auf die Idee gebracht, es mit User + Group zu versuchen. Ansonsten habe ich das mal überprüft, bin jedoch nicht bei allen Einstellungen so ganz sicher.
Dann würde ich folgendes vorschlagen: Du arbeitest die, die Du verstehst, ab, und fragst für den Rest nach ;-) Gruß Christian Boltz -- Registrierter Linux-Nutzer #239431 Linux - life is too short for reboots.
Guten Tag Christian Boltz, Am Montag, 22. Juli 2002 um 00:42 schrieb Christian Boltz:
Hallo Stefan, hallo Leute,
Am Sonntag, 21. Juli 2002 00:35 schrieb Stefan Schilling:
Am Sonntag, 21. Juli 2002 um 00:01 schrieb Christian Boltz:
immer noch Probleme mit vbox?
So langsam glaube ich ja, ein Anrufbeantworter wäre günstiger gekommen - und vor allem: einfacher zu konfigurieren ;-)
aber langweiliger, oder nicht?
*LoL*
Am Samstag, 20. Juli 2002 16:54 schrieb Stefan Schilling:
Ich versuche mittels eines <VirtualHost> Containers ein CGI-Script auszuführen. Dies klappt auch, leider mit den falschen Rechten. Deshalb habe ich folgendes eingefügt:
[...] User vbox Group users Dummerweise wird das Skript immer noch als User wwwrun, Gruppe nogroup ausgeführt. Was mache ich falsch? (Der Benutzer existiert natürlich).
Findet sich irgendwas interessantes in /var/log/httpd/error.log und suexec.log? Existiert die suexec.log überhaupt?
beide existieren, bleiben aber bis auf u.s. Eintrag leer.
chmod "Echt Kölnisch Wasser" (4711) ;-) anders ausgedrückt: Leserechte für Gruppe und Rest der Welt wegnehmen, Ausführ-Recht reicht. Das war bei mir der anscheinend Grund, warum suexec nicht wollte...
-rws--x--x 1 root root 22007 Mar 5 12:42 suexec
Wenn suexec (genauer: der Apache) gestartet wird, erscheint ein Eintrag in der /var/log/httpd/error.log: [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) Ist dieser Eintrag vorhanden?
ja.
auch aktuell (z. B. nach rcapache restart)? ja.
Falls nicht, geh mal die Liste der Sicherheitsüberprüfungen durch, die in /usr/local/httpd/htdocs/manual/suexec.html.html (bei installierter Apache-Doku) zu finden ist.
Dann würde ich folgendes vorschlagen: Du arbeitest die, die Du verstehst, ab, und fragst für den Rest nach ;-)
vorab Frage: "target" = mein CGI - Skript, ja? wenn 2+x User = mehrere Varianten durchgespielt. Fragen: 1) tja, keine Ahnung, sind denn meine Einstellungen in der /etc/httpd/httpd.conf richtig (sind aktuell im Thread: "2.Mal Perlianer: BITTE helfen mit vbox2www" abrufbar.) 2) sowohl vbox, wwwrun, als auch root, ja 3) -rws--x--x 1 root root 22007 Mar 5 12:42 suexec -> wofür steht eigentlich das "s"? 4) target liegt in /home/vbox/public_html/cgi-bin, sollte keine Verknüpfungen auf "/" oder ".." haben, teste ich morgen. Abgefragt werden Daten in /home/vbox/vbox/incoming 5+6) schilling, users, root alle existieren 7) solange das Ganze nicht unter root läuft: ja. 8) siehe 7) 9) nein, im Moment alles auf "users" bzw. "schilling" eingestellt. 10) siehe 7) 11) tja, das ist die grosse Frage... 12) klar 13) /home/vbox/public_html/cgi-bin 14) nein, ist es nicht 15) klar 16+17) -rwxr-xr-x 1 vbox schillin 6552 Jul 20 10:34 vbox.pl 18) verstehe die Frage nicht genau 19) verstehe die Frage nicht genau Trotz o.s. Änderungen an den Rechten von suexec bisher keine Änderungen im Verhalten. Gruß von Stefan an Christian Boltz -- Mit freundlichen Grüssen Stefan Schilling mailto:mail.suse@gmx.de
Hallo Stefan, hallo Leute, Am Montag, 22. Juli 2002 01:23 schrieb Stefan Schilling:
Am Montag, 22. Juli 2002 um 00:42 schrieb Christian Boltz:
Am Sonntag, 21. Juli 2002 00:35 schrieb Stefan Schilling:
Am Sonntag, 21. Juli 2002 um 00:01 schrieb Christian Boltz:
Am Samstag, 20. Juli 2002 16:54 schrieb Stefan Schilling:
Ich versuche mittels eines <VirtualHost> Containers ein CGI-Script auszuführen. Dies klappt auch, leider mit den falschen Rechten. Deshalb habe ich folgendes eingefügt:
[...] User vbox Group users Dummerweise wird das Skript immer noch als User wwwrun, Gruppe nogroup ausgeführt. Was mache ich falsch? (Der Benutzer existiert natürlich). [...] chmod "Echt Kölnisch Wasser" (4711) ;-) anders ausgedrückt: Leserechte für Gruppe und Rest der Welt wegnehmen, Ausführ-Recht reicht. Das war bei mir der anscheinend Grund, warum suexec nicht wollte...
-rws--x--x 1 root root 22007 Mar 5 12:42 suexec
Das ist schon mal gut ;-)
Eintrag in der /var/log/httpd/error.log: [notice] suEXEC mechanism enabled (wrapper: auch aktuell (z. B. nach rcapache restart)?
ja.
Gut. Dann sollte suExec eigentlich laufen ;-)
Falls nicht, geh mal die Liste der Sicherheitsüberprüfungen durch, die in /usr/local/httpd/htdocs/manual/suexec.html.html (bei installierter Apache-Doku) zu finden ist.
Dann würde ich folgendes vorschlagen: Du arbeitest die, die Du verstehst, ab, und fragst für den Rest nach ;-)
vorab Frage: "target" = mein CGI - Skript, ja?
target programm, ja. So hab ich das zumindest verstanden ;-)
wenn 2+x User = mehrere Varianten durchgespielt.
Hmm?
Fragen: 1) tja, keine Ahnung, sind denn meine Einstellungen in der /etc/httpd/httpd.conf richtig (sind aktuell im Thread: "2.Mal Perlianer: BITTE helfen mit vbox2www" abrufbar.)
Ich hab mal Deine httpd.conf hier reingeklebt ;-)
|
3) -rws--x--x 1 root root 22007 Mar 5 12:42 suexec -> wofür steht eigentlich das "s"?
Das ist das suid- oder "set user id"-Bit. Sprich: das Programm wird mit den Rechten des Besitzers ausgeführt (hier: root [1]), egal wer es aufruft. -> man chmod
4) target liegt in /home/vbox/public_html/cgi-bin, sollte keine Verknüpfungen auf "/" oder ".." haben, teste ich morgen. Abgefragt werden Daten in /home/vbox/vbox/incoming
Sollte also OK sein. Die Verzeichnisse oberhalb von /home/vbox/public_html/cgi-bin hast Du auch nicht als SymLink eingebunden, hoffe ich ;-)
5+6) schilling, users, root alle existieren
OK
7) solange das Ganze nicht unter root läuft: ja.
Unter root soll es ja auch nicht laufen ;-) mach mal (als root) suexec -V Ergibt bei mir: -D DOC_ROOT="/usr/local/httpd/htdocs" -D GID_MID=96 -D HTTPD_USER="wwwrun" -D LOG_EXEC="/var/log/httpd/suexec.log" -D SAFE_PATH="/bin:/usr/bin" -D UID_MID=96 -D USERDIR_SUFFIX="public_html"
8) siehe 7)
also > UID_MID (siehe (als root) suexec -V)
9) nein, im Moment alles auf "users" bzw. "schilling" eingestellt.
Gut.
10) siehe 7)
also > GID_MID (siehe suexec -V)
11) tja, das ist die grosse Frage...
Wenn User und Group existieren, denke ich mal, dass es geht ;-)
13) /home/vbox/public_html/cgi-bin
Leg es mal unter DOC_ROOT (siehe suexec -V), also in meinem Fall /usr/local/httpd/htdocs/
16+17) -rwxr-xr-x 1 vbox schillin 6552 Jul 20 10:34 vbox.pl
OK
18) verstehe die Frage nicht genau
Dürfte OK sein (die Frage ist, ob der in der httpd.conf eingetrage User/Gruppe mit User/Gruppe der Datei übereinstimmt, was bei Dir der Fall ist)
19) verstehe die Frage nicht genau
Würde mich wundern, wenn es hier Probleme gibt ;-) Mein Hauptverdächtiger ist momentan das DOC_ROOT, also das ganze mal ins von suexec -V ausgegebene DOC_ROOT packen und nochmal testen ;-) Ansonsten bin ich mit meinem Latein endgültig am Ende :-( [2] Gruß Christian Boltz [1] Bei suexec wird der User gleich wieder gewechselt. Das suid-bit auf root dient nur dazu, das Wechseln des Users zu ermöglichen. [2] Und komm jetzt bitte nicht mit dem Argument "Das hast Du schonmal gesagt" ;-) -- Registrierter Linux-Nutzer #239431 Linux - life is too short for reboots.
Guten Tag Christian Boltz, Am Dienstag, 23. Juli 2002 um 01:49 schrieb Christian Boltz:
Hallo Stefan, hallo Leute,
Am Montag, 22. Juli 2002 01:23 schrieb Stefan Schilling:
Am Montag, 22. Juli 2002 um 00:42 schrieb Christian Boltz:
Am Sonntag, 21. Juli 2002 00:35 schrieb Stefan Schilling:
Am Sonntag, 21. Juli 2002 um 00:01 schrieb Christian Boltz:
Am Samstag, 20. Juli 2002 16:54 schrieb Stefan Schilling:
[...]
Ich hab mal Deine httpd.conf hier reingeklebt ;-)
meine aktuelle Konf.:
4) target liegt in /home/vbox/public_html/cgi-bin, sollte keine Verknüpfungen auf "/" oder ".." haben, teste ich morgen. Abgefragt werden Daten in /home/vbox/vbox/incoming
Sollte also OK sein. Die Verzeichnisse oberhalb von /home/vbox/public_html/cgi-bin hast Du auch nicht als SymLink eingebunden, hoffe ich ;-)
nö, umgedreht: /var/spool/vbox/vbox ist ein Symlink auf /home/vbox/vbox ...damit bin ich die ständigen Meldungen "can´t access the directory...No Permission" umgangen. Nicht sonderlich geschickt, aber es funzt erstmal (später soll das wieder umgestellt werden; dann sollten ja eigentlich auch die Rechte stimmen...
5+6) schilling, users, root alle existieren
OK
7) solange das Ganze nicht unter root läuft: ja.
Unter root soll es ja auch nicht laufen ;-)
mach mal (als root) suexec -V Ergibt bei mir: -D DOC_ROOT="/usr/local/httpd/htdocs" -D GID_MID=96 -D HTTPD_USER="wwwrun" -D LOG_EXEC="/var/log/httpd/suexec.log" -D SAFE_PATH="/bin:/usr/bin" -D UID_MID=96 -D USERDIR_SUFFIX="public_html"
dieser Befehl gibt folgendes: linuxserver:/home/vbox/vbox # suexec -V linuxserver:/home/vbox/vbox # suexec -H linuxserver:/home/vbox/vbox # suexec -alödfköld :keine Ausgabe, httpd -V bringt: linuxserver:/ # httpd -V Server version: Apache/1.3.19 (Unix) (SuSE/Linux) Server built: Mar 5 2002 11:41:46 Server's Module Magic Number: 19990320:10 Server compiled with.... -D EAPI -D EAPI_MM -D EAPI_MM_CORE_PATH="/var/state/httpd/mm" -D HAVE_MMAP -D HAVE_SHMGET -D USE_SHMGET_SCOREBOARD -D USE_MMAP_FILES -D USE_SYSVSEM_SERIALIZED_ACCEPT -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT -D HTTPD_ROOT="/usr/local/httpd" -D SUEXEC_BIN="/usr/sbin/suexec" -D DEFAULT_PIDLOG="/var/run/httpd.pid" -D DEFAULT_SCOREBOARD="/var/run/httpd.scoreboard" -D DEFAULT_LOCKFILE="/var/run/httpd.lock" -D DEFAULT_XFERLOG="/var/log/httpd/access_log" -D DEFAULT_ERRORLOG="/var/log/httpd/error_log" -D TYPES_CONFIG_FILE="/etc/httpd/mime.types" -D SERVER_CONFIG_FILE="/etc/httpd/httpd.conf" -D ACCESS_CONFIG_FILE="/etc/httpd/access.conf" -D RESOURCE_CONFIG_FILE="/etc/httpd/srm.conf"
8) siehe 7)
also >> UID_MID (siehe (als root) suexec -V)
9) nein, im Moment alles auf "users" bzw. "schilling" eingestellt.
Gut.
jetzt konsequent alles auf vbox:users chmod 705 eingestellt, bei chmod 750 geht´s nicht; wahlweise Forbidden You don't have permission to access / on this server. oder Passwortdatei konnte nicht geöffnet werden (wenn ich nur die htpasswd.vbox auf 750 setze...)
10) siehe 7)
also >> GID_MID (siehe suexec -V) hmh, tja, ich seh nix ;)
11) tja, das ist die grosse Frage...
Wenn User und Group existieren, denke ich mal, dass es geht ;-)
ne
13) /home/vbox/public_html/cgi-bin
Leg es mal unter DOC_ROOT (siehe suexec -V), also in meinem Fall /usr/local/httpd/htdocs/
wenn ich das rausbekomme, ok. Ansonsten probier ichs morgen einfach mal da
16+17) -rwxr-xr-x 1 vbox schillin 6552 Jul 20 10:34 vbox.pl
OK
18) verstehe die Frage nicht genau
Dürfte OK sein (die Frage ist, ob der in der httpd.conf eingetrage User/Gruppe mit User/Gruppe der Datei übereinstimmt, was bei Dir der Fall ist)
19) verstehe die Frage nicht genau
Würde mich wundern, wenn es hier Probleme gibt ;-)
Mein Hauptverdächtiger ist momentan das DOC_ROOT, also das ganze mal ins von suexec -V ausgegebene DOC_ROOT packen und nochmal testen ;-)
Ansonsten bin ich mit meinem Latein endgültig am Ende :-( [2]
Auszug httpd -L (Kommando von man httpd): linuxserver:/home # httpd -L [...] User (http_core.c) Effective user id for this server Allowed in *.conf only outside <Directory>, <Files> or <Location> Group (http_core.c) Effective group id for this server Allowed in *.conf only outside <Directory>, <Files> or <Location> [...] linuxserver:/home # der will ne user bzw. group id, wenn ich jedoch ne Zahl eintrage (users group id = 100), bekomme ich ne Fehlermeldung: linuxserver:/home # rcapache reload Reload httpd httpd: bad group name 100 unused linuxserver:/home # warum?
Gruß
Christian Boltz
[1] Bei suexec wird der User gleich wieder gewechselt. Das suid-bit auf root dient nur dazu, das Wechseln des Users zu ermöglichen.
[2] Und komm jetzt bitte nicht mit dem Argument "Das hast Du schonmal gesagt" ;-)
das hast du schonmal geschrieben! (kein Problem, ich stehe seit Monaten auf dem Schlauch und bin immer wirklich sehr froh, wenn sich mal einer erbarmt... Ciao, Stefan -- Mit freundlichen Grüssen Stefan Schilling mailto:mail.suse@gmx.de
Guten Tag Christian Boltz, Am Dienstag, 23. Juli 2002 um 01:49 schrieb Christian Boltz:
Hallo Stefan, hallo Leute,
Am Montag, 22. Juli 2002 01:23 schrieb Stefan Schilling:
Am Montag, 22. Juli 2002 um 00:42 schrieb Christian Boltz:
Am Sonntag, 21. Juli 2002 00:35 schrieb Stefan Schilling:
Am Sonntag, 21. Juli 2002 um 00:01 schrieb Christian Boltz:
Am Samstag, 20. Juli 2002 16:54 schrieb Stefan Schilling:
mach mal (als root) suexec -V Ergibt bei mir: -D DOC_ROOT="/usr/local/httpd/htdocs" -D GID_MID=96 -D HTTPD_USER="wwwrun" -D LOG_EXEC="/var/log/httpd/suexec.log" -D SAFE_PATH="/bin:/usr/bin" -D UID_MID=96 -D USERDIR_SUFFIX="public_html"
Mein Hauptverdächtiger ist momentan das DOC_ROOT, also das ganze mal ins von suexec -V ausgegebene DOC_ROOT packen und nochmal testen ;-)
ok, habe ich grade gemacht; hier die Eintragungen in
/etc/httpd/httpd.conf:
Hallo Stefan, hallo Leute, Am Mittwoch, 24. Juli 2002 12:41 schrieb Stefan Schilling:
Am Dienstag, 23. Juli 2002 um 01:49 schrieb Christian Boltz:
Mein Hauptverdächtiger ist momentan das DOC_ROOT, also das ganze mal ins von suexec -V ausgegebene DOC_ROOT packen und nochmal testen ;-)
ok, habe ich grade gemacht; hier die Eintragungen in /etc/httpd/httpd.conf:
NameVirtualHost 192.168.100.1 DocumentRoot /usr/local/httpd/htdocs/public_html [...] User vbox Group users
[...] Options ExecCGI SymLinksIfOwnermatch </Directory> </VirtualHost> Alle benötigten Dateien liegen in den entsprechenden Verzeichnissen, Benutzer ist vbox, Gruppe users. Solange ich die Rechte auf 705 belasse funktioniert -bis auf die eigentlich Abfrage des aufgesprochenen Textes- die Sache ganz gut. Allerdings ändert sich das, sobald ich den Kram umstelle 750, --- Forbidden You don't have permission to access / on this server. ---
*g* Klar. Kurze Erklärung: Apache geht als wwwrun:nogroup ins Verzeichnis von vbox. - --- --- r-x wird mindestens benötigt (Leserechte für "Rest der Welt") Erst _danach_ wird mittels suexec auf vbox:users umgeschaltet (wenn ein Script ausgeführt wird) und erst jetzt greift vbox:users. Benötigte Rechtemaske ist jetzt - r(w?)x r-x --- oder - r(w?)x --- --- (die letztgenannte sperrt andere Mitglieder der Gruppe users aus dem Verzeichnis aus, vbox als Besitzer darf aber weiterhin hinein) Ergebnis: Du musst die Rechte auf 705 oder 755 setzen, sonst kann der Apache nicht ins Verzeichnis rein ;-) Gruß Christian Boltz -- Registrierter Linux-Nutzer #239431 Linux - life is too short for reboots.
Guten Tag Christian Boltz, Am Mittwoch, 24. Juli 2002 um 22:33 schrieb Christian Boltz:
Hallo Stefan, hallo Leute,
Am Mittwoch, 24. Juli 2002 12:41 schrieb Stefan Schilling:
Am Dienstag, 23. Juli 2002 um 01:49 schrieb Christian Boltz:
Mein Hauptverdächtiger ist momentan das DOC_ROOT, also das ganze mal ins von suexec -V ausgegebene DOC_ROOT packen und nochmal testen ;-)
ok, habe ich grade gemacht; hier die Eintragungen in /etc/httpd/httpd.conf:
NameVirtualHost 192.168.100.1 DocumentRoot /usr/local/httpd/htdocs/public_html [...] User vbox Group users
[...] Options ExecCGI SymLinksIfOwnermatch </Directory> </VirtualHost> Alle benötigten Dateien liegen in den entsprechenden Verzeichnissen, Benutzer ist vbox, Gruppe users. Solange ich die Rechte auf 705 belasse funktioniert -bis auf die eigentlich Abfrage des aufgesprochenen Textes- die Sache ganz gut. Allerdings ändert sich das, sobald ich den Kram umstelle 750, --- Forbidden You don't have permission to access / on this server. ---
*g* Klar. Kurze Erklärung:
Apache geht als wwwrun:nogroup ins Verzeichnis von vbox. - --- --- r-x wird mindestens benötigt (Leserechte für "Rest der Welt")
Erst _danach_ wird mittels suexec auf vbox:users umgeschaltet (wenn ein Script ausgeführt wird) und erst jetzt greift vbox:users. Benötigte Rechtemaske ist jetzt - r(w?)x r-x --- oder - r(w?)x --- --- (die letztgenannte sperrt andere Mitglieder der Gruppe users aus dem Verzeichnis aus, vbox als Besitzer darf aber weiterhin hinein)
Ergebnis: Du musst die Rechte auf 705 oder 755 setzen, sonst kann der Apache nicht ins Verzeichnis rein ;-)
Hi! Tja, wenn´s so einfach wäre: ich habe jetzt mal folgende Sachen auf 705 gesetzt, der Rest blieb bei 750: - /usr/local/httpd/htdocs/public_html/index.html (index.html wird als erstes geöffnet, es verzweigt zum vbox.pl) 2.(natürlich haben auch alle o.g. Verzeichnisse 705 oder offener) - /usr/local/httpd/htdocs/public_html/cgi-bin/vbox.pl (siehe 2.() ) eigentlich sollte es ja nicht nötig sein, dass sowohl vbox.pl als auch cgi-bin 705 hat, denn eigentlich sollte zum Zeitpunkt des Öffnens des Skripts der Nutzer via suexec ja bereits vbox:users sein. Pech, das ist nicht der Fall. Ein Zugriff auf das CGI klappt erst ab 705, 750 reicht nicht. Dasselbe gilt, wenn man dann (nachdem vbox.pl 705 hat) sich eine Nachricht anhören möchte (das dann aufgerufenen Skript heisst vboxplay.pl): kein Zugriff. 705 behebt das Problem. Zwar funzt auch dieses Skript nicht (siehe Thread "2.Mal Perlianer: BITTE helfen mit vbox2www"), aber zumindest bekommt er Zugriff darauf (ab 705), auch wenn´s nicht richtig läuft (naja, es wäre wohl inzwischen auch ein bischen viel verlangt, wenn alles auf Anhieb liefe, oder...?) Ciao, Stefan PS: ich hab´s grade eben nochmal versucht, es ist also nix, was ich meine, dass das so (nicht) läuft, sondern der Fehler ist jederzeit (ja, wirklich -leider) reproduzierbar. Mit freundlichen Grüssen Stefan Schilling mailto:mail.suse@gmx.de
participants (2)
-
Christian Boltz
-
Stefan Schilling