Schrift
Start · Board · Tools, Betriebssysteme und technische Fragen · Linux
[thread]9787[/thread]

CGI-Script, das /root-Rechte hat (Seite 2)

Leser: 1


<< |< 1 2 >| >> 18 Einträge, 2 Seiten
nepos
 2006-03-09 12:48
#95611 #95611
User since
2005-08-17
1420 Artikel
BenutzerIn
[Homepage] [default_avatar]
Entweder das oder man nutzt suexec im Apachen.
pq
 2006-03-09 14:46
#95612 #95612
User since
2003-08-04
12209 Artikel
Admin1
[Homepage]
user image
[quote=betterworld,08.03.2006, 21:55]pq: Wird bei einem execv(e) nicht die euid auf die uid gesetzt, falls das auszufuehrende Programm nicht setuid ist?[/quote]
ähm... ich verstehe die frage nicht.
unter linux kannst du (jedenfalls hier) kein perl-skript auf setuid setzen, bzw.
es hat keinen effekt. aber es geht mit binaries. das heißt, wrapper.cgi
wird als root ausgeführt und führt nun das perl-skript auch als root aus.
oder habe ich dich falsch verstanden?
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wiki:Wie frage ich & perlintro Wiki:brian's Leitfaden für jedes Perl-Problem
betterworld
 2006-03-09 15:58
#95613 #95613
User since
2003-08-21
2614 Artikel
ModeratorIn

user image
[quote=pq,09.03.2006, 13:46][quote=betterworld,08.03.2006, 21:55]pq: Wird bei einem execv(e) nicht die euid auf die uid gesetzt, falls das auszufuehrende Programm nicht setuid ist?[/quote]
ähm... ich verstehe die frage nicht.[/quote]
sorry, ich habe das gerade ausprobiert und es hat sich herausgestellt, dass ich mich geirrt hatte.
Lieblingsmodule: CPAN:IPC::System::Simple, CPAN:Path::Class
bloonix
 2006-03-09 16:31
#95614 #95614
User since
2005-12-17
1615 Artikel
HausmeisterIn
[Homepage]
user image
Hallo Community,

ich habe da mal selbst eine Frage zu Apache + root.

Kann man den Apache darum bitten, dass er von den vielen
http-Deamons eine bestimmte Anzahl als root startet und
auch, dass diese root-http-Deamons nur für bestimmte
Requests zuständig sind?

Greez,
opi\n\n

<!--EDIT|opi|1141914769-->
What is a good module? That's hard to say.
What is good code? That's also hard to say.
One man's Thing of Beauty is another's man's Evil Hack.
nepos
 2006-03-09 19:31
#95615 #95615
User since
2005-08-17
1420 Artikel
BenutzerIn
[Homepage] [default_avatar]
Nein, sowas geht nicht. Wenn man CGIs unter anderen Usern laufen lassen will: http://httpd.apache.org/docs/2.2/suexec.html
Das sollte denke ich die beste und sicher auch ausgereifteste Variante sein...
betterworld
 2006-03-09 22:01
#95616 #95616
User since
2003-08-21
2614 Artikel
ModeratorIn

user image
opi: Du koenntest mit dem P-flag (P fuer Proxy) von RewriteRule bestimmte Requests an andere Apaches weiterleiten. So wirklich die dolle Idee ist es aber wirklich nicht, Apache als root laufen zu lassen. Wahrscheinlich ist der Anteil dieses riesigen Code-Haufens, der wirklich die Privilegien benoetigt, sehr vernachlaessigbar. Wenn es Dir um CGI-Skripte geht, solltest Du das Problem so loesen, wie es weiter oben besprochen wurde.
Lieblingsmodule: CPAN:IPC::System::Simple, CPAN:Path::Class
murphy
 2006-03-09 22:01
#95617 #95617
User since
2004-07-19
1776 Artikel
HausmeisterIn
[Homepage]
user image
Mit suEXEC kann man allerdings keine Programme als root laufen lassen. Das steht explizit in der Dokumentation:
Quote
Presently, suEXEC does not allow root to execute CGI/SSI programs.


In meinen Augen ist es auch nicht gerade intelligent, ein CGI-Programm unter dem root Benutzerkonto auszuführen. Da gibt es bestimmt eine weniger radikale Lösung. Man muss Sicherheitsprobleme ja nicht herausfordern...
When C++ is your hammer, every problem looks like your thumb.
in2fire
 2006-07-04 15:14
#95618 #95618
User since
2006-07-04
6 Artikel
BenutzerIn
[default_avatar]
Vor genau dem gleichen Problem stand ich auch.
Und ich habe mich jetzt entschieden das Script an einem Port lauschen zu lassen und darüber auszuführen.

Der Rest hat mir irgendwie nicht so gefallen.
<< |< 1 2 >| >> 18 Einträge, 2 Seiten



View all threads created 2006-03-08 16:01.