Apache, suexec és Documentroot

Linux-haladó

Apache, suexec és Documentroot

  • 867 megtekintés

( khiraly | 2004. 12. 19., v – 00:44 )

Sziasztok!

Problema rovid leirasa:

Az apache nem hajlando a suexec -es szkripteket csak a Documentroot-on belul lefuttatni.
De az apache httpd.conf -jaban hiaba adom meg, hogy a szkriptem nem a /var/www alatt van hanem a /home/web/felh konyvtar alatt, azt a hibauzenetet irja ki, hogy:
[2004-12-19 00:19:43]: error: command not in docroot (/home/web/felh/login.pl)

Hiaba allitom at a httpd.conf
Documentroot /var/www/
-jet /home/web/felh -nevre, a hibauzenet ugyanaz.

Tehat a kerdesem az, hogy hogyan tudnam megadni az apache-nak hogy a documentroot -om megvaltozott es ezentul a /home/web lenne az, es futtassa le azon belul a szkriptemet.
( a /home/web/felh egy virtualhost a httpd.conf -ban)

- Miert van szuksegem suexec -re?

Bizonyara most mindenki nekem esik, hogy minek suexec nekem, meg ez sec. hole, stb. Ezert roviden leirnam, hogy mire is kell ez nekem. Fel eve irogatunk egy webmail rendszert (perlben), eloszor a webmail ldap-t hasznalt (azonositas, adatok) attettuk mySQL-re.
A webmail IMAP-ot hasznalt a levelek eleresehez. Evvel tobb problema is van:
- az imapot hasznalo perl modulunkkal (Cclient) sok problemank akadt (rosszat nem akarok irni), ezert eldobtuk. Helyette a Mail::Box modult hasznaljuk ami direktbe eleri a konyvtarrendszeren keresztul a maildires leveleket.
- Igy tobb uj lehetoseg nyilik meg elottunk a jovobeni bovithetosegre(ezzel nem untatlak benneteket).

Egy masik userre suexec -ezek at, ami aztan eleri a maildires leveleket. Ez szerintem biztonsagosabb, mintha az osszes szkriptet futtato embernek joga lenne olvasni a gepen folyo levelezest.

Tehat szo sincs root user hasznalatarol. Egy 100-as UID-nel nagyobb ID-ju userre su-zok at. Mivel 100 alatti UID-t nem hajlando elinidtani az apache-ban levo suexec. (es ezt se tudom atallitani).

Eredetileg
www-data mail (user group) -kent akartam futtatni a szkriptet. Most uj felhasznalot hoztam letre.

A szkript fut a /var/www/felh konyvtaron keresztul (ha atteszem oda). Tehat a problema szerintem documentroot eredetu.

Udv,
Khiraly

( wry | 2004. 12. 19., v – 04:55 )

nem olvastam át a teljes hozzászólást, az első pár soron megakadt a szemem : a docroot amire a suexec hivatkozik NEM az a docroot amire te gondolsz. a httpd.conf-ban lévő documentroot ugyanis a www dokumentumoké, a suexecnek sajátja van, amit a suexec progiba beleforgattál installkor.
sajnos ilyen hiba esetén vagy derítsd ki mit adtál meg docrootnak, vagy forgasd újra a suexeced :(

( wry | 2004. 12. 19., v – 04:59 )

próbáld ezt ki, ha szerencséd van és nem buherált suexeced van, akkor erre ki kell, hogy köpjön valamit:

/../suexec -V

( asd | 2004. 12. 19., v – 14:40 )

[quote:74de2ee78e="khiraly"]
Helyette a Mail::Box modult hasznaljuk ami direktbe eleri a konyvtarrendszeren keresztul a maildires leveleket.
- Igy tobb uj lehetoseg nyilik meg elottunk a jovobeni bovithetosegre(ezzel nem untatlak benneteket).

Ez az egyik leheto legrosszabb megoldas ami letezik. Teljesen hianyzik az a reteg, ami a levelkezelo frontendet elvalasztja a levelektol, tehat osszefuggeseiben bovithetetlenseget es az access control teljes hianyat emlegeted - mas szavakkal.

[quote:74de2ee78e="khiraly"]
Egy masik userre suexec -ezek at, ami aztan eleri a maildires leveleket. Ez szerintem biztonsagosabb, mintha az osszes szkriptet futtato embernek joga lenne olvasni a gepen folyo levelezest.

Eppen most definialtad az access control hianyat.

[quote:74de2ee78e="khiraly"]
Tehat szo sincs root user hasznalatarol.

Mivel minden rendszer azokon a pontokon tamadhato, amelyeket elerhetove teszel, elmondhato, hogy egy hibas, fejlesztesi es adminisztracios zsakutcaba torkollo megoldas kedveert ujabb lehetoseget biztositasz (tamadasi feluletet mutatsz fel: -Ide lojetek!).

En meggondolnam megis az IMAP-ot, amig nem keso.

asd

( khiraly | 2004. 12. 20., h – 04:01 )

[quote:084614df52="wry"]erre ki kell, hogy köpjön valamit:

[code:1:084614df52]
xxx:/usr/lib/apache# ./suexec -V
-D DOC_ROOT="/var/www"
-D GID_MIN=100
-D HTTPD_USER="www-data"
-D LOG_EXEC="/var/log/apache/suexec.log"
-D SAFE_PATH="/usr/local/bin:/usr/bin:/bin"
-D UID_MIN=100
-D USERDIR_SUFFIX="public_html"
xxx:/usr/lib/apache#
[/code:1:084614df52]

Szoval akkor suexec -et ujra kell forgatnom. De en az apache.ot csomagbol tettem fel. Aszem akkor egy apache ujraforditast kell csinalnom. Sajnos.

-------------------------
asd:

Ez az egyik leheto legrosszabb megoldas ami letezik. Teljesen hianyzik az a reteg, ami a levelkezelo frontendet elvalasztja a levelektol, tehat osszefuggeseiben bovithetetlenseget es az access control teljes hianyat emlegeted - mas szavakkal.

Hat bovithetetlenseget nem latok. Mivel a Mail::Box perl modulhoz van mindenfele modul (maildir, mbox, stb) ezert ebben az iranyban bovitheto.

Nem vitatom, hogy ez egy nagyobb sec. hole mintha imap-on keresztul erne el a szkriptem a leveleket. Nem zarkozok el ettol a lehetosegtol. De ami imap klienst lattam eddig gyari perl modulkent, az mind egy bughalom volt. Energiam (es idom) nincs egy full imap klienst irni.

Viszont csodalatos lehetosegek nyilnak meg elottem:

webspace: Egy usernek adunk 50MB helyet a leveleihez. Akkor ezt az 50MB-ot miert ne engednenk meg, hoyg arra hasznalja amire szeretne? Es ha mondjuk egy adott konyvtarba teszi a dolgait, akkor azt webrol is lassa?

galleria: Miert ne lehetne az egy dirbe (adott strukturaban felpakolt kepekbol) galleriat generalni? Ilynre gondolok:
http://primates.ximian.com/~jimmac/photos/index.php?galerie=blendercon04

Tehat szo sincs itt a fejlesztes beallasarol. Nagyon szep es sok uj lehetoseg nyilik meg elottunk. De igazad van, elegge at kell gondolni biztonsag teren a dolgot.
Lehet kulon kellene egy programot irni ami daemonkent fut es olvassa a koynvtarstrukturat. Ezt a jovo eldonti.

de azt belathatod, hogy a galleriat es webspace-t eleg nehez imap-on keresztul megvalositani.

Talan nem sok mindenkit erdekel, de megemlitem, hogy ez egy olyan webmail lesz, ami PGP-t fullosan tamogatja. Ilyen webmailt en meg nem lattam (ettol meg lehet!).
Amit eddig mar tud: pgp szerverrol szedett kulccsal meg tudja allapitani, hoyg hiteles-e a level. Uj kulcsot lehet hozzaadni (pgp szerverhez). Es jovoben pgp-vel titkositva is lehet majd levelet kuldeni.

Lesz meg ennek a webmailnek tovabbi erdekessege is, de egyelore nem akarom az osszes poent (meg nem valosult 5letet) leloni.

Udv,
Khiraly