nee, maximal mit Apache-Rechten. suexec läuft nicht eigenständig, kann auch nicht an der Kommandozeile ausgeführt werden.

das suexec nicht von der Kommandozeile läuft ist richtig

Auszug aus Apache-Handbuch.

Apache ruft zu diesem Zweck das Hilfsprogramm suexec auf, das im Wesentlichen ein setuid- und setgid-Wrapper für eigene Skripte ist.

Das Wrapper-Programm suexec muss korrekt aufgerufen worden sein
(darum kümmert sich Apache hinter den Kulissen; das Programm ist nicht
für den Kommandozeilenaufruf gedacht)

Der User muss die Berechtigung besitzen, den SuEXEC-Wrapper aufzurufen;
dies darf nur die User-ID, unter der Apache läuft (

So ist es und der letzte Satz ist entscheidend. 

 

Der User muss die Berechtigung besitzen, den SuEXEC-Wrapper aufzurufen;
dies darf nur die User-ID, unter der Apache läuft ( 

Unter welcher UID läuft der Apache? - unter Apache.

 

Apache ruft zu diesem Zweck das Hilfsprogramm suexec auf, das im Wesentlichen ein setuid- und setgid-Wrapper für eigene Skripte ist.

also ruft der User "apache" das Hilfsprogramm "suexec" auf und zwar im Namen und Auftrag des "suexec-Users"!

und da dies im Besitz von Besitz  root.apache ist,

wird folglich das Script mit der Rechten von "root" ausgeführt.
 

nein, suexec hat einen Sicherheitsmechanimus, der genau dies verhindert.
Zankapfel

 

suexec hat einen Sicherheitsmechanimus

so welchen?

 

Zankapfel

selber 

suexec bekommt die entsprechende UID/GID übergeben und dementsprechend werden die Privilegien zur Laufzeit gesetzt.
Die 0 wird von vornherein nach interner Prüfung abgewiesen - innerhalb von suexec. Dabei ist egal, wem suexec gehört. Das bestimmt in diesem Fall nur den Rahmen.

 

 

suexec bekommt die entsprechende UID/GID übergeben und dementsprechend werden die Privilegien zur Laufzeit gesetzt.

Nee!

der suexec-User darf nicht root sein!
das Script muss suexec gehören!

und das Script das suexec gehört und nicht die U(G)ID "0" haben darf, wird per SUID mit root-Rechten ausgeführt!
Es werden keine rechte/Privilegien verändert/gesetzt!

Wie im richtigen Leben mit dem Befehl "passwd" für den normalen Benutzer!


 

Die 0 wird von vornherein nach interner Prüfung abgewiesen - innerhalb von suexec

Das ist nicht der suexec-User darf nicht root sein!
weil dann das ganze Nonsons wäre!

 

Dabei ist egal, wem suexec gehört.

wenn du "/usr/sbin/suexec" meinst ist es nicht egal und gerade der Knackpunkt!
weil ja "/usr/sbin/suexec" den Benutzer "root" gehört wird also das script das aufgerufen wird mit "root-Rechten ausgeführt, aber nur wenn das script halt nicht die UID "0" hat und suexec gehört!
 

ich geb's auf und halte mein vorlautes Maul.

habe die  Apache-seite gelesen und die interesante Diskussion hier weiter gelesen und selber probiert.
/usr/sbin/suexec hat bei mir jetzt rwsr-xr-x und root.root.
die scripte liegen im CGI-Ordner
die httpd.conf ist angepasst

suexec funktioniert bei allen Nutzern die ich alle extra angelegt habe solange ich keine admi-Rechte brauche. dann wollte ich die /etc/shadow anzeigen lassen(nur mal so).was kann der Fehler sein?
 

He, du kannst dich zur Gruppe wheel hinzufügen und dann in
/etc/sudoers einfügen:

%wheel ALL=(ALL) NOPASSWD: ALL

Dann musst du bei sudo nie mehr das Passwort eingeben.

Eigentlich wollte ich mich ja aus diesem Thread raushalten, aber bei solchen Ratschlägen unmöglich!

du kannst dich zur Gruppe wheel hinzufügen und dann in
/etc/sudoers einfügen:
%wheel ALL=(ALL) NOPASSWD: ALL

Das vergiß mal ganz schnell. Es funktioniert zwar, ist aber eine extreme Sicherheitslücke.