dazu muss er aber den Quellcode des Apachen lesen können und ihn dann selber compilieren.
es geht auch ein klein bissel anders, es sollen ja sicher Scripte mit root-Rechten laufen?
Bei Fedora ist es apache.apache
Es ist der falsche Ansatz diese Rechte verändern zu wollen damit das Script ausgeführt wird, auch wenn in deinem Lehrbuch was anderes stehen sollte.Ist ja erst mal grundsätzlich richtig.
mit chmod und chown an dieser Stelle wird kaum gehen.
@Knut wie würdest du's machen?
Es hat ein paar Stunden Schlaf gekostet, aber es funktioniert so leider nicht.
Suexec ist kein eigenständiges Programm sondern ein Modul. Damit suexec und der Apache miteinander spielen, muß der Apache compiliert werden mit den passenden Einstellungen.
d.h. suexec-caller=UID müßte beim Compilieren geändert werden, aber die kriegt man max so niedrig wie Apache selbst ausgeführt wird. Das Ändern der SUID des Moduls selbst bringt nichts.
Bei dem aufrufenden Skript dürfen die SUID- bzw. SGID-Bits nicht gesetzt sein.
Suexec selbst läßt das Aufrufen als Root nicht zu.
suexec existiert wenn mit installiert
unter
"/usr/sbin/suexec"
mit den Rechten r-s--x---
Besitz root.apache
zu prüfen ob es mit eincompiliert ist mit
"/usr/sbin/suexec -V"
Bei einige Distries ist es bereits mit drin!
hier ist also das suid Bit gesetzt und darf nicht auf den Scripten gesetzt sein!
die suexec Benutzer und Gruppen dürfen nicht unter U(G)ID 100 laufen, verständlich.
Die Scripte müssen den suexec Benutzer und Gruppe gehören
Der Path zum Script darf nicht mit "/" oder "../" beginnen
das Script gehört den suexec Benutzer/Gruppe (die man angelegt hat) und der führt das Schript per suexec aus.
und "/usr/sbin/suexec"
hat diese Rechteit r-s--x---
und sind im Besitz von Besitz root.apache
folglich wird das Script zum ausführen mit der Rechten von "suexec" ausgeführt.
« opensuse 11.2 3D spiele (smokinguns, openarena, supertux ...)laufen alle nicht | Suse 11.2 und Kaffeine ist ein Problem » | ||