Frage zu suExec und Posix ACLs

Tiberian

New Member
Hallo,

ich bin gerade dabei mein kleines, privates Apache System neu zu organisieren. Dabei sollen ein paar neue User auf das System Einzug halten. Das Ziel ist das System mit suExec und fcgid zu erstellen um ein bisschen in die Sicherheit zu investieren.
Das ganze funktioniert auch soweit, aber da ich auf dem gesamten System Filesystem ACLs einsetze mag mich suExec nicht besonders gerne :) Das Problem ist, das Verzeichnis und der FCGI Wrapper gehören dem User root und dem jeweiligen User wird nur mittels einer ACL erlaubt das Script auszuführen (--x). Bei dieser Konstellation beschwert sich suExec dass das File und Verzeichnis nicht dem User gehören und verweigert sämtliche Arbeit:

target uid/gid (1234/5678) mismatch with directory (0/0) or program (1234/5678)
target uid/gid (1234/5678) mismatch with directory (1234/5678) or program (0/0)

Nach einigem googlen und dem durchsuchen der Apache Mailinglisten bin ich darauf gestossen, dass dies bereits mal als Bug bei Apache 1.3 gemeldet wurde und dann wohl in mod_cgi bzw suExec gefixt wurde. Siehe https://issues.apache.org/bugzilla/show_bug.cgi?id=17897 Deshalb meine Frage, warum prüft suExec hier nicht auf die Filesystem ACLs obwohl diese ja in Ordnung sind, bzw. dies standardkonform ist ?
Und falls jemand schon mal genau das gleiche Problem hatte, wie hat er dies gelöst ?

Viele Grüße
Tiberian
 
Hallo,

leg doch einfach deine Domains unter /home/vhosts und die fcgi script unter /home/fcgid ab. fertig ist der lack.
 
Genau das möchte ich eben nicht machen, sondern alles in ein Verzeichnis legen. Zudem gehts mir da ja auch um ne grundsätzliche Lösung. Sonst hat der Apache ja auch keine Probleme mit FS ACLs (der Zugriff für den Apache User für html Seiten ist bei mir damit gelöst).

Ich hatte auch schon ne Konstellation wo ein Verzeichnis überhalt des Verzeichnisses wo der Wrapper liegt mit ACLs versehen war und da hats ihn nicht interessiert. Nur direkt das Verzeichnis wo der Wrapper liegt war n Problem. Und auch das wars net immer. Manchmal hat er gar net gemeckert, dann wieder doch. Also alles sehr strange.

Ich wollte eben mal wissen ob schon andere damit herumprobiert haben und ob dies ein Fehler von mir ist oder n grundsätzliches Problem. Weil wenn ja würd ich da mal nen Bugreport setzen.

Grüße
Tiberian
 
Sonst hat der Apache ja auch keine Probleme mit FS ACLs (der Zugriff für den Apache User für html Seiten ist bei mir damit gelöst).
Das ist aber ein Unterschied zu SuExec bzw. der Absicht dahinter. Rein technisch kann der SuExec Wrapper völlig problemlos auf die Dateien zugreifen. Das entsprechende Problem wurde in dem von dir verlinkten Bugreport gelöst.

Allerdings prüft der SuExec Wrapper nur die normalen POSIX Dateirechte und -besitzer und nicht die POSIX ACL. Das sagt dir auch die Meldung in deinen Logs.

Der SuExec Wrapper ist absichtlich sehr, sehr schlicht gehalten. Wenn du die Fähigkeit unbedingt benötigst, schreib einen Bugreport oder noch besser selbst einen Patch.
 
Back
Top