Toon posts:

FastCGI + suEXEC + SSL draait onder default user

Pagina: 1
Acties:

dinsdag 29 juli 2014 17:45

Acties:
  • 0 Henk 'm!
  • KoBolD54
  • Registratie: Maart 2002
  • Laatst online: 01-10 09:27

KoBolD54

Topicstarter
Hi,

Sinds een aantal dagen ben ik aan het testen gegaan met FastCGI en suEXEC op een van mijn web doosjes. Nadat ik alles netjes had geconfigd leek alles te werken. Op een aantal sites heb ik een test.php bestand aangemaakt die aangeeft onder welke user dit script draait en dit was voor elke site de correct (eigen) user.

Nu ben ik een stap verder gegaan en heb een van mijn SSL sites laten draaien via FastCGI en suEXEC. Echter geeft mijn test.php script nu aan dat de SSL variant van de site onder de gebruiker "apache" draait i.p.v. zijn eigen gebruiker. De non SSL variant draait wel onder de juiste (eigen) gebruiker.

Mijn beide configs zien er hetzelfde uit, m.u.v. de poortnummers.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

<VirtualHost beveiligdewebsite.tld:80>
        ServerName beveiligdewebsite.tld
        DocumentRoot /var/www/beveiligdewebsite
        ScriptAlias /cgi-bin/ "/var/www/beveiligdewebsite/cgi-bin/"

        SuexecUserGroup beveiligdewebsite beveiligdewebsite

    <Directory "/var/www/beveiligdewebsite">
                Options +Indexes FollowSymLinks +ExecCGI
                AddHandler php5-fastcgi .php
                Action php5-fastcgi /cgi-bin/php.fastcgi
                AllowOverride All
                Order allow,deny
                Allow from All
        </Directory>
</VirtualHost>


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

<VirtualHost beveiligdewebsite.tld:443>
        ServerName beveiligdewebsite.tld
        DocumentRoot /var/www/beveiligdewebsite
        ScriptAlias /cgi-bin/ "/var/www/beveiligdewebsite/cgi-bin/"

        SuexecUserGroup beveiligdewebsite beveiligdewebsite

    <Directory "/var/www/beveiligdewebsite">
                Options +Indexes FollowSymLinks +ExecCGI
                AddHandler php5-fastcgi .php
                Action php5-fastcgi /cgi-bin/php.fastcgi
                AllowOverride All
                Order allow,deny
                Allow from All
        </Directory>
</VirtualHost>


Buiten het feit dat de SSL site dus onder de default user apache draait werkt hij verder wel en ook de logs geven geen uitslag. Zie ik iets over het hoofd of werkt dat op deze manier gewoon weg niet? 8)7

dinsdag 29 juli 2014 20:58

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 21:30

Hero of Time

Moderator LNX

There is only one Legend

En welke distro en release versie is dit op? Wat zeggen de Apache logs? Loop je misschien niet tegen SELinux aan? Die kan wel eens vreemde dingen doen, van het gewoon niet laten werken tot compleet ander resultaat geven dan je verwacht.

Commandline FTW | Tweakt met mate

dinsdag 29 juli 2014 21:16

Acties:
  • 0 Henk 'm!
  • KoBolD54
  • Registratie: Maart 2002
  • Laatst online: 01-10 09:27

KoBolD54

Topicstarter
Hero of Time schreef op dinsdag 29 juli 2014 @ 20:58:
En welke distro en release versie is dit op? Wat zeggen de Apache logs? Loop je misschien niet tegen SELinux aan? Die kan wel eens vreemde dingen doen, van het gewoon niet laten werken tot compleet ander resultaat geven dan je verwacht.
Ik draai Centos 6.5. De apache logs laten helaas niets zien behalve een connectie. SELinux staat uit, dat heb ik net nog even voor de zekerheid gecheckt, helaas :-(

woensdag 30 juli 2014 10:49

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 30-09 08:10

Thralas

Klopt je NameVirtualHost directive wel?

code:
1

NameVirtualHost: beveiligdewebsite.tld


Of check even of het probleem echt bij de SuExec directive ligt, ik zou namelijk eerder aannemen dat je hele VirtualHost niet opgepikt wordt.

woensdag 30 juli 2014 11:47

Acties:
  • 0 Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 01-10 16:13

Kees

Serveradmin / BOFH / DoC
Er staan wat dubbele dingen in je config, en ik mis een aantal SSL dingen. En gebruik je Apache 2.4?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

<Directory "/var/www/beveiligdewebsite">
    Options +Indexes FollowSymLinks +ExecCGI
    AddHandler php5-fastcgi .php
    Action php5-fastcgi /cgi-bin/php.fastcgi
    AllowOverride All
    # Apache 2.4
    Require all granted 
# Apache 2.2 en lager syntax
#    Order allow,deny
#    Allow from All
</Directory>

<VirtualHost *:80>
    ServerName beveiligdewebsite.tld
    DocumentRoot /var/www/beveiligdewebsite
    ScriptAlias /cgi-bin/ "/var/www/beveiligdewebsite/cgi-bin/"

    SuexecUserGroup beveiligdewebsite beveiligdewebsite

</VirtualHost>
<VirtualHost *:443>
    ServerName beveiligdewebsite.tld
    DocumentRoot /var/www/beveiligdewebsite
    ScriptAlias /cgi-bin/ "/var/www/beveiligdewebsite/cgi-bin/"

    SuexecUserGroup beveiligdewebsite beveiligdewebsite

    SSLEngine on
    SSLCertificateFile ~iets.crt~
    SSLCertificateKeyFile ~dat.key~
</VirtualHost>


Verder haal ik er niet echt spannende verschillen uit

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

woensdag 30 juli 2014 13:54

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 30-09 08:10

Thralas

Kees schreef op woensdag 30 juli 2014 @ 11:47:
Er staan wat dubbele dingen in je config, en ik mis een aantal SSL dingen. En gebruik je Apache 2.4?
Ik denk 2.2, gezien CentOS 6 en de Allow directives.

woensdag 30 juli 2014 14:01

Acties:
  • 0 Henk 'm!
  • KoBolD54
  • Registratie: Maart 2002
  • Laatst online: 01-10 09:27

KoBolD54

Topicstarter
Thralas schreef op woensdag 30 juli 2014 @ 10:49:
Klopt je NameVirtualHost directive wel?

code:
1

NameVirtualHost: beveiligdewebsite.tld


Of check even of het probleem echt bij de SuExec directive ligt, ik zou namelijk eerder aannemen dat je hele VirtualHost niet opgepikt wordt.
Mijn VirtualHost wordt wel opgepakt aangezien het certificaat gewoon geldig is en alleen bij deze VirtualHost actief is.
Kees schreef op woensdag 30 juli 2014 @ 11:47:
Er staan wat dubbele dingen in je config, en ik mis een aantal SSL dingen. En gebruik je Apache 2.4?

Verder haal ik er niet echt spannende verschillen uit
Ik gebruik Apache 2.2. Sommige settings had ik weggelaten om het leesbaar te houden. Wat betreft SSL staat het onderstaand er nog in.

code:
1
2
3
4
5
6
7

        SSLEngine on
        SSLCertificateFile    /etc/httpd/cert/beveiligdewebsite.crt
        SSLCertificateKeyFile /etc/httpd/cert/beveiligdewebsite.key
        SSLCACertificateFile  /etc/httpd/cert/ca_root.crt
        SSLProtocol all -SSLv2 -SSLv3
        SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
        SSLHonorCipherOrder on

donderdag 31 juli 2014 12:50

Acties:
  • 0 Henk 'm!
  • KoBolD54
  • Registratie: Maart 2002
  • Laatst online: 01-10 09:27

KoBolD54

Topicstarter
Het probleem heb ik ondertussen opgelost d.m.v. een herinstallatie van apache en suexec. Waar het probleem nu exact in zat blijft echter een raadsel aangezien ik dezelfde configs en certificaten gebruik als daarvoor.

Bedankt allemaal voor het meedenken!
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq