Hallo,
ich bin gerade dabei mein kleines, privates Apache System neu zu organisieren. Dabei sollen ein paar neue User auf das System Einzug halten. Das Ziel ist das System mit suExec und fcgid zu erstellen um ein bisschen in die Sicherheit zu investieren.
Das ganze funktioniert auch soweit, aber da ich auf dem gesamten System Filesystem ACLs einsetze mag mich suExec nicht besonders gerne Das Problem ist, das Verzeichnis und der FCGI Wrapper gehören dem User root und dem jeweiligen User wird nur mittels einer ACL erlaubt das Script auszuführen (--x). Bei dieser Konstellation beschwert sich suExec dass das File und Verzeichnis nicht dem User gehören und verweigert sämtliche Arbeit:
target uid/gid (1234/5678) mismatch with directory (0/0) or program (1234/5678)
target uid/gid (1234/5678) mismatch with directory (1234/5678) or program (0/0)
Nach einigem googlen und dem durchsuchen der Apache Mailinglisten bin ich darauf gestossen, dass dies bereits mal als Bug bei Apache 1.3 gemeldet wurde und dann wohl in mod_cgi bzw suExec gefixt wurde. Siehe https://issues.apache.org/bugzilla/show_bug.cgi?id=17897 Deshalb meine Frage, warum prüft suExec hier nicht auf die Filesystem ACLs obwohl diese ja in Ordnung sind, bzw. dies standardkonform ist ?
Und falls jemand schon mal genau das gleiche Problem hatte, wie hat er dies gelöst ?
Viele Grüße
Tiberian
ich bin gerade dabei mein kleines, privates Apache System neu zu organisieren. Dabei sollen ein paar neue User auf das System Einzug halten. Das Ziel ist das System mit suExec und fcgid zu erstellen um ein bisschen in die Sicherheit zu investieren.
Das ganze funktioniert auch soweit, aber da ich auf dem gesamten System Filesystem ACLs einsetze mag mich suExec nicht besonders gerne Das Problem ist, das Verzeichnis und der FCGI Wrapper gehören dem User root und dem jeweiligen User wird nur mittels einer ACL erlaubt das Script auszuführen (--x). Bei dieser Konstellation beschwert sich suExec dass das File und Verzeichnis nicht dem User gehören und verweigert sämtliche Arbeit:
target uid/gid (1234/5678) mismatch with directory (0/0) or program (1234/5678)
target uid/gid (1234/5678) mismatch with directory (1234/5678) or program (0/0)
Nach einigem googlen und dem durchsuchen der Apache Mailinglisten bin ich darauf gestossen, dass dies bereits mal als Bug bei Apache 1.3 gemeldet wurde und dann wohl in mod_cgi bzw suExec gefixt wurde. Siehe https://issues.apache.org/bugzilla/show_bug.cgi?id=17897 Deshalb meine Frage, warum prüft suExec hier nicht auf die Filesystem ACLs obwohl diese ja in Ordnung sind, bzw. dies standardkonform ist ?
Und falls jemand schon mal genau das gleiche Problem hatte, wie hat er dies gelöst ?
Viele Grüße
Tiberian