dazu muss er aber den Quellcode des Apachen lesen können und ihn dann selber compilieren.

es geht auch ein klein bissel anders, es sollen ja sicher Scripte mit root-Rechten laufen?

Bei Fedora ist es apache.apache
 

Es ist der falsche Ansatz diese Rechte verändern zu wollen damit das Script ausgeführt wird, auch wenn in deinem Lehrbuch was anderes stehen sollte.

vllt. mit suexec und/oder suid/sgid

hab ich auch schon überlegt, aber:
mit suexec kommst Du nicht unter 53(oder war`s 67?).
suid/sgid gibt's bei Scripten Probleme. 

die kleinste mögliche ID für suexec ist entweder 100 oder 500 meist 100.
Das ist ja nicht das Problem, dann lassen wir suexec mit suid von root laufen

gute Idee, ich probiers selber mal aus.
Besser als den Apache völlig auszuhebeln.
Aber ne interessante Sache, ich nehme für sowas einen ganz anderen Ansatz, nicht über den Apachen. 

Na dann, lass hören was bei raus gekommen ist

Es hat ein paar Stunden Schlaf gekostet, aber es funktioniert so leider nicht.
Suexec ist kein eigenständiges Programm sondern ein Modul. Damit suexec und der Apache miteinander spielen, muß der Apache compiliert werden mit den passenden Einstellungen.
d.h. suexec-caller=UID müßte beim Compilieren geändert werden, aber die kriegt man max so niedrig wie Apache selbst ausgeführt wird. Das Ändern der SUID des Moduls selbst bringt nichts.
Bei dem aufrufenden Skript dürfen die SUID- bzw. SGID-Bits nicht gesetzt sein.
Suexec selbst läßt das Aufrufen als Root nicht zu.

vielen Dank für eure Mühen. werde mir dafür extra eine abgeschlossene Test-umgebung aufbauen.
tut mir leid, das ich so einen Aufwand verursacht habe.
Wolfram

Kein Problem
Testumgebung ist okay denke ich.
 

suexec existiert wenn mit installiert
unter
"/usr/sbin/suexec"
mit den Rechten r-s--x---
Besitz  root.apache

zu prüfen ob es mit eincompiliert ist mit

"/usr/sbin/suexec -V"

Bei einige Distries ist es bereits mit drin!


hier ist also das suid Bit gesetzt und darf  nicht auf den Scripten gesetzt sein!

die suexec Benutzer und Gruppen dürfen nicht unter U(G)ID 100 laufen, verständlich.

Die Scripte müssen den suexec Benutzer und Gruppe gehören

Der Path zum Script darf nicht mit "/" oder "../" beginnen

selber mal ausprobiert?
ich habs so nicht zum Laufen gekriegt.

Wenn ich mal ein bissel Muße habe werd' ich's mal probieren

Kiste Jever, dass das nichts wird.
Für suexec ist der Aufrufer entscheidend.

das Script gehört den suexec Benutzer/Gruppe (die man angelegt hat) und der führt das Schript per suexec aus.
und "/usr/sbin/suexec"
hat diese Rechteit r-s--x---
und sind im Besitz von Besitz  root.apache
folglich wird das Script zum ausführen mit der Rechten von "suexec" ausgeführt.