[Apache] Root rechten - Linux en overige clients

maandag 24 januari 2005 14:17

Acties:

het Hardware-Hondje :]

Topicstarter

Ik ben bezig met het opzetten van een management server voor het beheren van diverse processen. Dit wil ik gaan doen met behulp van php en apache. Tijdens het bouwen van diverse scripts kwam ik er achter dat apache onvoldoende rechten heeft. Bijvoorbeeld voor het starten van nieuwe processen en het killen van huidige processen. Via diverse forums werd mij aangeraden apache opnieuw te compileren met de optie -DBIG_SECURITY_HOLE om zo apache onder root te laten draaien. Echter heb ik hier een aantal vraagtekens bij en vraag ik mij af hoe jullie dit doen?

Is het niet mogelijk apache commando's te laten processen met bv het 'su' commando? misschien biedt sudoers nog uitkomst om zo mijn processen te beheren. Hoe doen jullie dit precies?

http://www.xbmcfreak.nl/

maandag 24 januari 2005 14:21

Acties:

Rac-On

persoonlijk zou ik mijn apache nooit en te nimmer root rechten geven. Als er een applicatie binnen Linux is die (relatief) veel security-issues heeft, dan is het Apache wel.

Wat jij wilt kan je op een aantal manieren doen:
1. Apache als root laten draaien
2. Exec icm sudoers gebruiken
3. suexec gebruiken (http://httpd.apache.org/docs/suexec.html)

die laatste geniet natuurlijk de voorkeur, omdat dat er voor gemaakt is. Desalnietemin zou ik voor een andere beheer oplossing gaan (putty anyone ?)

[ Voor 18% gewijzigd door Rac-On op 24-01-2005 14:22 ]

doet niet aan icons, usertitels of signatures

maandag 24 januari 2005 14:37

Acties:

Kees

Serveradmin / BOFH / DoC

Nooit apache als root laten draaien..

Wat rac-on zegt is veel beter; sudo of suexec.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

maandag 24 januari 2005 14:49

Acties:

Verwijderd

Wat ik ook nog wel eens gebruik ik gewoon een phpscript die de wijzigingen doorkrijgt van de frontend in een crontab zetten. Het script wat in de cron moet natuurlijk niet in je webacces dir oid zetten, anders kan een evt hacker alsnog rootrechten gebruiken

maandag 24 januari 2005 14:54

Acties:

Rac-On

Verwijderd schreef op maandag 24 januari 2005 @ 14:49:
Wat ik ook nog wel eens gebruik ik gewoon een phpscript die de wijzigingen doorkrijgt van de frontend in een crontab zetten. Het script wat in de cron moet natuurlijk niet in je webacces dir oid zetten, anders kan een evt hacker alsnog rootrechten gebruiken

?? /etc/crontab mag je alleen naar schrijven als je root rechten hebt, dus lost het probleem niet op?
En je kan wel iets in de crontab van de www-user zetten, maar dan heb je alsnog geen root rechten? Ik snap niet hoe dit het probleem op lost?

doet niet aan icons, usertitels of signatures

maandag 24 januari 2005 15:18

Acties:

Verwijderd

rac-on schreef op maandag 24 januari 2005 @ 14:54:
[...]

?? /etc/crontab mag je alleen naar schrijven als je root rechten hebt, dus lost het probleem niet op?
En je kan wel iets in de crontab van de www-user zetten, maar dan heb je alsnog geen root rechten? Ik snap niet hoe dit het probleem op lost?

Apache(nobody) schrijft dingen naar de dbase weg die gewijzigd/afgeschoten/whatever moeten worden, die trek je er in de cron die wel rootrechten er gewoon uit en bewerk je met die rechten.