Forum
Tipps
News
Menu-Icon

nee, maximal mit Apache-Rechten. suexec läuft nicht eigenständig, kann auch nicht an der Kommandozeile ausgeführt werden.

das suexec nicht von der Kommandozeile läuft ist richtig

Auszug aus Apache-Handbuch.

Zitat
Apache ruft zu diesem Zweck das Hilfsprogramm suexec auf, das im Wesentlichen ein setuid- und setgid-Wrapper für eigene Skripte ist.

Das Wrapper-Programm suexec muss korrekt aufgerufen worden sein
(darum kümmert sich Apache hinter den Kulissen; das Programm ist nicht
für den Kommandozeilenaufruf gedacht)

Der User muss die Berechtigung besitzen, den SuEXEC-Wrapper aufzurufen;
dies darf nur die User-ID, unter der Apache läuft (

So ist es und der letzte Satz ist entscheidend. 

 

Zitat
Der User muss die Berechtigung besitzen, den SuEXEC-Wrapper aufzurufen;
dies darf nur die User-ID, unter der Apache läuft ( 
Unter welcher UID läuft der Apache? - unter Apache.

 
Zitat

Apache ruft zu diesem Zweck das Hilfsprogramm suexec auf, das im Wesentlichen ein setuid- und setgid-Wrapper für eigene Skripte ist.

also ruft der User "apache" das Hilfsprogramm "suexec" auf und zwar im Namen und Auftrag des "suexec-Users"!

und da dies im Besitz von Besitz  root.apache ist,

wird folglich das Script mit der Rechten von "root" ausgeführt.
 

nein, suexec hat einen Sicherheitsmechanimus, der genau dies verhindert.
Zankapfel ;D

 

Zitat
suexec hat einen Sicherheitsmechanimus
so welchen?

 
Zitat
Zankapfel
selber  ;D;)

suexec bekommt die entsprechende UID/GID übergeben und dementsprechend werden die Privilegien zur Laufzeit gesetzt.
Die 0 wird von vornherein nach interner Prüfung abgewiesen - innerhalb von suexec. Dabei ist egal, wem suexec gehört. Das bestimmt in diesem Fall nur den Rahmen.

 

 

Zitat
suexec bekommt die entsprechende UID/GID übergeben und dementsprechend werden die Privilegien zur Laufzeit gesetzt.
Nee!

der suexec-User darf nicht root sein!
das Script muss suexec gehören!

und das Script das suexec gehört und nicht die U(G)ID "0" haben darf, wird per SUID mit root-Rechten ausgeführt!
Es werden keine rechte/Privilegien verändert/gesetzt!

Wie im richtigen Leben mit dem Befehl "passwd" für den normalen Benutzer!


 
Zitat
Die 0 wird von vornherein nach interner Prüfung abgewiesen - innerhalb von suexec
Das ist nicht der suexec-User darf nicht root sein!
weil dann das ganze Nonsons wäre!

 
Zitat
Dabei ist egal, wem suexec gehört.

wenn du "/usr/sbin/suexec" meinst ist es nicht egal und gerade der Knackpunkt!
weil ja "/usr/sbin/suexec" den Benutzer "root" gehört wird also das script das aufgerufen wird mit "root-Rechten ausgeführt, aber nur wenn das script halt nicht die UID "0" hat und suexec gehört!
 

ich geb's auf und halte mein vorlautes Maul. :-X;)

habe die  Apache-seite gelesen und die interesante Diskussion hier weiter gelesen und selber probiert.
/usr/sbin/suexec hat bei mir jetzt rwsr-xr-x und root.root.
die scripte liegen im CGI-Ordner
die httpd.conf ist angepasst

suexec funktioniert bei allen Nutzern die ich alle extra angelegt habe solange ich keine admi-Rechte brauche. dann wollte ich die /etc/shadow anzeigen lassen(nur mal so).was kann der Fehler sein?
 

He, du kannst dich zur Gruppe wheel hinzufügen und dann in
/etc/sudoers einfügen:

%wheel ALL=(ALL) NOPASSWD: ALL

Dann musst du bei sudo nie mehr das Passwort eingeben.

Eigentlich wollte ich mich ja aus diesem Thread raushalten, aber bei solchen Ratschlägen unmöglich!

Zitat
du kannst dich zur Gruppe wheel hinzufügen und dann in
/etc/sudoers einfügen:
%wheel ALL=(ALL) NOPASSWD: ALL
Das vergiß mal ganz schnell. Es funktioniert zwar, ist aber eine extreme Sicherheitslücke. 

« opensuse 11.2 3D spiele (smokinguns, openarena, supertux ...)laufen alle nicht Suse 11.2 und Kaffeine ist ein Problem »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...

Programm
Siehe Software...

Unterlänge
In der Typographie lassen sich die einzelnen Buchstaben des Alphabets in ein sogenanntes Linienraster oder Liniensystem vertikal einfügen. Nun lassen sich drei versc...