Hallo

ICh und mein Admin teilen uns einen Server und aus Sicherhietsgründen läuft ein Programm namens:

suexec


Allerdings verhindert dieses PRogramm mod_perl, oder stimmt das nicht?


Was können wir machen, damit wir mod_perl zum laufen bekommen, ohne ein Sicherheitsrisiko einzugehen?

Gibt es vergleichbare Programme, die mod_perl zu lassen oder ist das nur ein Einstellungsfehler?


Patrick Müller

Wenn Perl sonst ohne Probleme läuft dann ist es nur ein Einstellungsfehler.

ich nehme mal an, es handelt sich um mod_perl unter apache 1.3...

vermutlich hast du einen virtual host laufen; da kannst du fuer diesen virtual host einen benutzernamen und eine gruppe vergeben, dann hast du sowas aehnliches. Dann ist das einzige Problem, das mir jetzt dazu einfaellt, eine eventuelle startup.pl, die ueber die httpd.conf gestartet wird und somit die apache-rechte hat (normalerweise root). Achja, du musst damit rechnen, dass jemand aus einem anderen Namensraum eventuell auf globale Daten deines Scriptes zugreifen kann... aber das koennte man dadurch umgehen, indem man two patchy server installiert...\n\n

<!--EDIT|Strat|1079307676-->

mod_perl wird im apache-child vorgehalten und auch direkt dort, also ohne neuen prozess, ausgeführt. dadurch ergibt sich imho schon, dass ein userwechsel wie bei suexec (für mod_cgi mit neuen prozessen) nicht möglich ist.

ich habe bei mir mod_perl laufen und nur für spezielle vhosts freigeschaltet. alle können darüberhinaus via mod_cgi mit suexec normale cgi-scripts nutzen.

mehrere httpds mag für 2 präsenzen gehen - schon bei 10 (besonders mit mod_perl und damit speicherintensiveren childs) präsenzen wird das aber problematisch.

Irgendwie passt das alles mir noch nicht ganz. gibt es keine andere Möglichkeiten.

@strats: zu serverintensiv
@jan: unsicher?

@jan

Quote

mod_perl wird im apache-child vorgehalten und auch direkt dort, also ohne neuen prozess, ausgeführt. dadurch ergibt sich imho schon, dass ein userwechsel wie bei suexec (für mod_cgi mit neuen prozessen) nicht möglich ist.

Als ich noch auf meinem Strato Server Visas laufen hatte gab es eine spezielle suexec die mod_perl für alle ermöglichte.

ppm2: für mich sicher genug, ich hoste nur kundenseiten auf dem server, die von mir betreut werden.

jan10001: wirklich? hast du da weitere infos drüber? die mod_perl doku sagt:

Quote

Is it possible to run mod_perl enabled Apache as suExec?

The answer is No. The reason is that you can't "suid" a part of a process. mod_perl lives inside the Apache process, so its UID and GID are the same as the Apache process.

You have to use mod_cgi if you need this functionality.

Another solution is to use a crontab to call some script that will check whether there is something to do and will execute it. The mod_perl script will be able to create and update this todo list.

@jan
Viel gibt es nicht darüber vielleicht wirst du daraus schlau.

Quote

Es existiert übrigens eine Variante des suexec-Programmes für den Apache, die wesentlich weniger restriktiv bei der Prüfung der User- und Gruppenrechte an der auszuführenden Datei und dem enthaltenden Verzeichnis ist, die dafür aber eine chroot()-Umgebung aufsetzt, in der dieses Programm ablaufen kann. Dadurch, daß das Programm in der chroot()-Umgebung eingesperrt ist, wird ein zusätzlicher Grad an Sicherheit erreicht.

ahh, ok, chroot ist natürlich eine variante. danke

Ich habe von dieser chroot()-Umgebung noch nichts gehört...


Hm.

Könntet ihr mir sagen, woher man diese suexec bekommt oder was man an suexec für Konfigurationen vornehmen muss, damit diese läuft?

Bitte um eine genaue erklärung davon, denn das würde wohl alle Probleme lösen... *hoff*g**