sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #44973
Re: suEXEC
Nikolaj wrote:
>
> Jeg vil gerne have, at apache skal kunne eksekverere ROOT-kommandoer
> (igennem PHP fra webserveren), men det er desværre ikke lykkedes for mig
> endnu :-(
> Jeg har nærlæst de første 20-30 hjemmesider og kompileret stort set samme
> antal apache - desværre uden held.
>
> Jeg har nu konstateret, at suEXEC virker på serveren, men apache er stadig
> apache - desværre.
>
> Jeg har forstået, at der er flere veje til målet - herunder anvendelsen af
> CGI-BIN. Jeg har desværre ikke helt forstået, hvorledes dette virker.
>
> Min forståelse af suEXEC er følgende: "web (apache) => wrapper (suEXEC) =>
> (udfører root-kommando) => ikke mere root.
>
> Til mit behov er det i orden at kompilere en selvstændig apache, som faktisk
> er user: root, men som kun kan udføre begrænsede root-kommandoer fra et
> katalog liggende under denne webserver, eller en lignende løsning.
>
> Jeg håber, at nogle kan give mig lidt hjælp med på vejen.
Du skal ikke lade din apache kører under root, det er ikke
sikkerhedsmæssigt
forsvarligt. Det bedste(efter min mening)du kan gøre er at bruge
en intern socket
Den kan du åbne og skrive til, fra php med fsockopen( se under
networkfunctions).
Til at omsætte de sockets til systemkomandoer har du brug for at
lave en deamon. Det kan du gøre i det programmeringssprog der
passer dig bedst, men perl er en mulighed. Der er
en udemærket beskrivelse med et omfattende eksempel på.
http://www.perldoc.com/perl5.6/pod/perlipc.html#Sockets--Client-Server-Communication
Ved en sådan konstruktion betyder det mindre om din apache skulle
blive cracket, det er alligevel kun de systemkald som din
perl-server har indbygget der kan udføres.
--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk
References
-
suEXEC
From: Nikolaj, 2001-11-28