CGI-Script, das /root-Rechte hat (Seite 2) (Linux)

[thread]9787[/thread]

CGI-Script, das /root-Rechte hat (Seite 2)

Leser: 1

nepos

2006-03-09 12:48

User since
2005-08-17
1420 Artikel
BenutzerIn

Entweder das oder man nutzt suexec im Apachen.

2006-03-09 14:46

User since
2003-08-04
12209 Artikel
Admin1

[quote=betterworld,08.03.2006, 21:55]pq: Wird bei einem execv(e) nicht die euid auf die uid gesetzt, falls das auszufuehrende Programm nicht setuid ist?[/quote]
ähm... ich verstehe die frage nicht.
unter linux kannst du (jedenfalls hier) kein perl-skript auf setuid setzen, bzw.
es hat keinen effekt. aber es geht mit binaries. das heißt, wrapper.cgi
wird als root ausgeführt und führt nun das perl-skript auch als root aus.
oder habe ich dich falsch verstanden?

Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wiki:

Wie frage ich & perlintro Wiki:

brian's Leitfaden für jedes Perl-Problem

betterworld

2006-03-09 15:58

User since
2003-08-21
2614 Artikel
ModeratorIn

user image

[quote=pq,09.03.2006, 13:46][quote=betterworld,08.03.2006, 21:55]pq: Wird bei einem execv(e) nicht die euid auf die uid gesetzt, falls das auszufuehrende Programm nicht setuid ist?[/quote]
ähm... ich verstehe die frage nicht.[/quote]
sorry, ich habe das gerade ausprobiert und es hat sich herausgestellt, dass ich mich geirrt hatte.

Lieblingsmodule: CPAN:

IPC::System::Simple, CPAN:

Path::Class

bloonix

2006-03-09 16:31

User since
2005-12-17
1615 Artikel
HausmeisterIn

Hallo Community,

ich habe da mal selbst eine Frage zu Apache + root.

Kann man den Apache darum bitten, dass er von den vielen
http-Deamons eine bestimmte Anzahl als root startet und
auch, dass diese root-http-Deamons nur für bestimmte
Requests zuständig sind?

Greez,
opi\n\n

What is a good module? That's hard to say.
What is good code? That's also hard to say.
One man's Thing of Beauty is another's man's Evil Hack.

nepos

2006-03-09 19:31

User since
2005-08-17
1420 Artikel
BenutzerIn

Nein, sowas geht nicht. Wenn man CGIs unter anderen Usern laufen lassen will: http://httpd.apache.org/docs/2.2/suexec.html
Das sollte denke ich die beste und sicher auch ausgereifteste Variante sein...

betterworld

2006-03-09 22:01

User since
2003-08-21
2614 Artikel
ModeratorIn

user image

opi: Du koenntest mit dem P-flag (P fuer Proxy) von RewriteRule bestimmte Requests an andere Apaches weiterleiten. So wirklich die dolle Idee ist es aber wirklich nicht, Apache als root laufen zu lassen. Wahrscheinlich ist der Anteil dieses riesigen Code-Haufens, der wirklich die Privilegien benoetigt, sehr vernachlaessigbar. Wenn es Dir um CGI-Skripte geht, solltest Du das Problem so loesen, wie es weiter oben besprochen wurde.

Lieblingsmodule: CPAN:

IPC::System::Simple, CPAN:

Path::Class

murphy

2006-03-09 22:01

User since
2004-07-19
1776 Artikel
HausmeisterIn

Mit suEXEC kann man allerdings keine Programme als root laufen lassen. Das steht explizit in der Dokumentation:

Quote
Presently, suEXEC does not allow root to execute CGI/SSI programs.

In meinen Augen ist es auch nicht gerade intelligent, ein CGI-Programm unter dem root Benutzerkonto auszuführen. Da gibt es bestimmt eine weniger radikale Lösung. Man muss Sicherheitsprobleme ja nicht herausfordern...

When C++ is your hammer, every problem looks like your thumb.

in2fire

2006-07-04 15:14

User since
2006-07-04
6 Artikel
BenutzerIn
[default_avatar]

Vor genau dem gleichen Problem stand ich auch.
Und ich habe mich jetzt entschieden das Script an einem Port lauschen zu lassen und darüber auszuführen.

Der Rest hat mir irgendwie nicht so gefallen.

View all threads created 2006-03-08 16:01.