[Apache 1.3.31] Suexec en shell probleem - Linux en overige clients

dinsdag 13 juli 2004 12:27

Acties:

Topicstarter

Ik draai apache met suexec. Suexec draait correct volgens apache (httpd -l).
Ik heb alle users in de groep "users" zitten. Bij alle virtual hosts geef ik aan dat de betreffende user en group gebruikt moeten worden.
Als ik de bestanden alleen leesbaar maak voor de user en dus niet de groep, dan kan apache er niet meer bij. Als ik ze wel leesbaar maak voor de groep gaat het prima met apache, maar dan kunnen alle shell-users uit dezelfde group de files ook lezen en op die manier eventuele configuratiebestanden achterhalen.

Hier heb ik twee vragen over:

1. Is het mogelijk om apache alleen op basis van de user (dus niet group) bestanden te laten lezen?

2. Of kan je met bijvoorbeeld suphp php-files lezen die alleen readable zijn voor de user (die dus niet leesbaar zijn voor de group)?

Ik hoop dat iemand mij hier wat meer info over kan geven, want ik ben al een paar dagen aan het zoeken.

En heeft iemand toevallig een idee hoe bijvoorbeeld XS4all dat doet. Als je daar namelijk inlogt (shell) dan zit je ook in 1 groep met alle andere gebruikers. Toch is het niet mogelijk om de (WWW)-bestanden van een andere user te lezen.

None

dinsdag 13 juli 2004 18:10

Acties:

igmar

ISO20022

reddevil001 schreef op 13 juli 2004 @ 12:27:
Ik draai apache met suexec. Suexec draait correct volgens apache (httpd -l).
Ik heb alle users in de groep "users" zitten. Bij alle virtual hosts geef ik aan dat de betreffende user en group gebruikt moeten worden.
Als ik de bestanden alleen leesbaar maak voor de user en dus niet de groep, dan kan apache er niet meer bij.

Enig idee wat suexec doet ? Volgens mij niet, aangezien de PHP docs toch duidelijk aangeven dat het alleen voor cgi-bin scripts geldt.

Als ik ze wel leesbaar maak voor de groep gaat het prima met apache, maar dan kunnen alle shell-users uit dezelfde group de files ook lezen en op die manier eventuele configuratiebestanden achterhalen.

Aangezien alle vhosts onder de apache user draaien is dat logisch.

Hier heb ik twee vragen over:

1. Is het mogelijk om apache alleen op basis van de user (dus niet group) bestanden te laten lezen?

Standaard ? Nee.

2. Of kan je met bijvoorbeeld suphp php-files lezen die alleen readable zijn voor de user (die dus niet leesbaar zijn voor de group)?

Ik hoop dat iemand mij hier wat meer info over kan geven, want ik ben al een paar dagen aan het zoeken.

suphp is suexec, maar dan per vhost, en een heleboel overhead.

En heeft iemand toevallig een idee hoe bijvoorbeeld XS4all dat doet. Als je daar namelijk inlogt (shell) dan zit je ook in 1 groep met alle andere gebruikers. Toch is het niet mogelijk om de (WWW)-bestanden van een andere user te lezen.

Geen idee, maar d'r zijn over dit onderwerp legio topics langekomen hier. De search is daar erg handig voor

dinsdag 13 juli 2004 19:37

Acties:

reddevil001

Topicstarter

igmar schreef op 13 juli 2004 @ 18:10:
Enig idee wat suexec doet ? Volgens mij niet, aangezien de PHP docs toch duidelijk aangeven dat het alleen voor cgi-bin scripts geldt.

Ik heb zeker wel "enig" idee wat suexec doet. Ik heb ook de daarbij behorende documenten gelezen. Ik heb echter nergens kunnen vinden of suexec alleen voor cgi-bin werkt. Ik heb wel terug kunnen vinden dat het niet voor modules (zoals php) werkt.

igmar schreef op 13 juli 2004 @ 18:10:
Aangezien alle vhosts onder de apache user draaien is dat logisch.

Dat is niet het geval. Ik heb voor iedere virtual host aangegeven onder welke user/group die moet draaien. Dus de virtual host van /home/user1/public_html heeft "User user1" en "Group users".

igmar schreef op 13 juli 2004 @ 18:10:suphp is suexec, maar dan per vhost, en een heleboel overhead.

De vraag was echter of suphp dit op basis van de user doet. Kortom is het voldoende als alleen de user leesrechten heeft.
Als de group namelijk ook leesrechten moet hebben, kan iedereen met een shell-account de bestanden ook lezen.

igmar schreef op 13 juli 2004 @ 18:10:Geen idee, maar d'r zijn over dit onderwerp legio topics langekomen hier. De search is daar erg handig voor

En zoals ik al schreef heb ik (o.a.) hier gezocht.
Misschien is er iemand die me wel op weg wil helpen en niet alleen van plan is om te laten zien dat hij het beter weet.

None

dinsdag 13 juli 2004 21:48

Acties:

igmar

ISO20022

reddevil001 schreef op 13 juli 2004 @ 19:37:
Ik heb zeker wel "enig" idee wat suexec doet. Ik heb ook de daarbij behorende documenten gelezen. Ik heb echter nergens kunnen vinden of suexec alleen voor cgi-bin werkt. Ik heb wel terug kunnen vinden dat het niet voor modules (zoals php) werkt.

Alles wat geen module is, is cgi. Dingen die apache zelf doet vallen ook onder de modules, en ook daarvoor werken de User / Group directives niet.

Dat is niet het geval. Ik heb voor iedere virtual host aangegeven onder welke user/group die moet draaien. Dus de virtual host van /home/user1/public_html heeft "User user1" en "Group users".

Die directives werken alleen voor suexec, en dus alleen voor cgi-bin. Hetgeen wat jij wilt is geen standaard Apache 1 functionaliteit. Apache 2 heeft een soortgelijk iets (wat wel per vhost werkt, en ook voor alle modules), maar dat schijnt alles behalve vlekkeloos te werken.

De vraag was echter of suphp dit op basis van de user doet. Kortom is het voldoende als alleen de user leesrechten heeft.
Als de group namelijk ook leesrechten moet hebben, kan iedereen met een shell-account de bestanden ook lezen.

Dat lijkt me erg waarschijnlijk.

En zoals ik al schreef heb ik (o.a.) hier gezocht.
Misschien is er iemand die me wel op weg wil helpen en niet alleen van plan is om te laten zien dat hij het beter weet.

Dat laatste heeft d'r niks mee te maken. Deze discussie is voor zowel Apache 1 als 2 meerdere malen gevoerd, en de documentatie is erg duidelijk dat het alleen voor cgi-bin geldt. In de betreffende topics staat ook de alternatieven vermeld, zoals suphp, mod_become, mod_suid, etc.