nee, maximal mit Apache-Rechten. suexec läuft nicht eigenständig, kann auch nicht an der Kommandozeile ausgeführt werden.
das suexec nicht von der Kommandozeile läuft ist richtig
Auszug aus Apache-Handbuch.
Apache ruft zu diesem Zweck das Hilfsprogramm suexec auf, das im Wesentlichen ein setuid- und setgid-Wrapper für eigene Skripte ist.
Das Wrapper-Programm suexec muss korrekt aufgerufen worden sein
(darum kümmert sich Apache hinter den Kulissen; das Programm ist nicht
für den Kommandozeilenaufruf gedacht)
Der User muss die Berechtigung besitzen, den SuEXEC-Wrapper aufzurufen;
dies darf nur die User-ID, unter der Apache läuft (
Der User muss die Berechtigung besitzen, den SuEXEC-Wrapper aufzurufen;Unter welcher UID läuft der Apache? - unter Apache.
dies darf nur die User-ID, unter der Apache läuft (
Apache ruft zu diesem Zweck das Hilfsprogramm suexec auf, das im Wesentlichen ein setuid- und setgid-Wrapper für eigene Skripte ist.
also ruft der User "apache" das Hilfsprogramm "suexec" auf und zwar im Namen und Auftrag des "suexec-Users"!
und da dies im Besitz von Besitz root.apache ist,
wird folglich das Script mit der Rechten von "root" ausgeführt.
suexec bekommt die entsprechende UID/GID übergeben und dementsprechend werden die Privilegien zur Laufzeit gesetzt.
Die 0 wird von vornherein nach interner Prüfung abgewiesen - innerhalb von suexec. Dabei ist egal, wem suexec gehört. Das bestimmt in diesem Fall nur den Rahmen.
suexec bekommt die entsprechende UID/GID übergeben und dementsprechend werden die Privilegien zur Laufzeit gesetzt.Nee!
der suexec-User darf nicht root sein!
das Script muss suexec gehören!
und das Script das suexec gehört und nicht die U(G)ID "0" haben darf, wird per SUID mit root-Rechten ausgeführt!
Es werden keine rechte/Privilegien verändert/gesetzt!
Wie im richtigen Leben mit dem Befehl "passwd" für den normalen Benutzer!
Die 0 wird von vornherein nach interner Prüfung abgewiesen - innerhalb von suexecDas ist nicht der suexec-User darf nicht root sein!
weil dann das ganze Nonsons wäre!
Dabei ist egal, wem suexec gehört.
wenn du "/usr/sbin/suexec" meinst ist es nicht egal und gerade der Knackpunkt!
weil ja "/usr/sbin/suexec" den Benutzer "root" gehört wird also das script das aufgerufen wird mit "root-Rechten ausgeführt, aber nur wenn das script halt nicht die UID "0" hat und suexec gehört!
habe die Apache-seite gelesen und die interesante Diskussion hier weiter gelesen und selber probiert.
/usr/sbin/suexec hat bei mir jetzt rwsr-xr-x und root.root.
die scripte liegen im CGI-Ordner
die httpd.conf ist angepasst
suexec funktioniert bei allen Nutzern die ich alle extra angelegt habe solange ich keine admi-Rechte brauche. dann wollte ich die /etc/shadow anzeigen lassen(nur mal so).was kann der Fehler sein?
Eigentlich wollte ich mich ja aus diesem Thread raushalten, aber bei solchen Ratschlägen unmöglich!
du kannst dich zur Gruppe wheel hinzufügen und dann inDas vergiß mal ganz schnell. Es funktioniert zwar, ist aber eine extreme Sicherheitslücke.
/etc/sudoers einfügen:
%wheel ALL=(ALL) NOPASSWD: ALL
« opensuse 11.2 3D spiele (smokinguns, openarena, supertux ...)laufen alle nicht | Suse 11.2 und Kaffeine ist ein Problem » | ||