sslug-teknik team mailing list archive

Thread
Date

PHP gennem suEXEC på Apache?

To: <sslug-teknik@xxxxxxxx>
From: "Morten Egelund Rasmussen" <sslug-teknik@xxxxxxxxxxxxxx>
Date: Wed, 24 Oct 2001 01:39:57 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Importance: Normal
In-reply-to: <000601c15c06$eb2c1b20$4d00000a@desktop>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

Hejsa,

Jeg har nu fået konfigureret min Apache, så alle CGI-scripts går gennem
suEXEC, og de enkelte brugere på serveren ikke kan læse spændende ting
hos naboen herigennem.

Men-men-men: PHP bliver jo normalt kørt direkte ind i Apache under
kompileringen (som modul), og suEXEC vil derfor være ligeglad med alle
PHP-scripts. :-(

Begynder man så at læse lidt rundt på nettet, finder man ud af at PHP
godt kan køre i "safe mode", hvilket er helt udenom suEXEC (se
http://www.php.net/manual/en/features.safe-mode.php). Det ser dog *IKKE*
ud til at det er vejen frem, da det ændrer en masse ting i PHP. F.eks.
kræves det at filer som forsøges åbnet via et script, har samme ejer
(UID) som scriptet selv. (Og vupti: så var min gruppeopsætning væk!)...

Vejen frem må således være at få PHP til at fungere som CGI-parser (som
f.eks. Perl). For at få kørt hastigheden op i nærheden af det
oprindelige kan man evt. (vistnok) gøre dette gennem FastCGI-modulet til
Apache. --Dokumentationen på dette område er dog ret sparsom! :-(

Imidlertid er jeg lidt ked af, hvis alle PHP-scripts nu SKAL have en
"shebang"-linie i toppen og rettighederne sættes til noget med "x"...

Derfor: Kan man konfigurere Apache til automatisk at finde ud af hvilken
CGI-parser en fil skal gennem, udelukkende ud fra dens extension? --
Eller lægger CGI-modellen op til, at CGI-programmerne kører helt
uafhængigt af Apache, og Apache egentlig kun læser stdout fra disse? (Og
da CGI-scripts her *er* programmer, skal de have shebang+execute.)

Det korte af det lange er: Hvordan kalder jeg bedst muligt PHP-scripts
gennem suEXEC?

M.v.h.
Morten



 

> Jon skrev:
> > > mig bekendt kan man i apache specificere hvilken bruger scripts
> > > skal koere under. Om man kan gøre det for hver virtual server kan
> > > jeg ikke huske, men det vil jeg mene.
> 
> Ahh... Jeg har nu også fundet direktiverne "User" og "Group" frem af
> gemmerne. Tilsyneladende mener Apache dog ikke at de skal gælde for
PHP.
> Der er muligvis en måde at fortælle Apache at PHP-filer også skal
gennem
> suEXEC....
> 
> Kim skrev:
> > Øhh I frygt for at lyde dum :), ville jeg prøve kigge på
> > Klaus Mail.
> 
> Jeg sidder også og roder med suEXEC nu. Man skal tilsyneladende bare
> være en smule tålmodig før det virker.... Når det virker med de
> file-extensions som jeg har defineret som CGI-scripts, kan jeg tage
fat
> i PHP-filerne....
> 
> M.v.h.
> Morten
> 
> 
> PS: Den der med økseskaftet var bestemt ikke personlig. Jeg fattede
bare
> ikke lige hvad du mente, Jon. ;-)
> 
> PPS: Er jeg helt gal på den, hvis jeg skyder på at man mange steder
ude
> i det ganske cyberspace ikke kører med suEXEC? -- Enten fordi man ikke
> har tænkt over sikkerhedshullet, eller fordi det er besværligt for
> brugerne [sic!]?
> 
> 
> 
>

Follow ups

Re: PHP gennem suEXEC på Apache?
From: Poul-Erik Andreasen, 2001-10-24

References

RE: Hvordan kan man overhovedet sikre et webhotel mod scripting via Apache?! (Uhadada!!!)
From: Morten Egelund Rasmussen, 2001-10-23