маленько про suexec
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: маленько про suexec
я не знаю как этого сделать!
ставлю 7.0 release (это кстате еще не стабильная)
Уязвимость во FreeBSD 6, 7 и NetBSD 4
http://www.opennet.ru/opennews/art.shtml?num=15012
Проблемы с производительностью MyISAM таблиц во FreeBSD 7.0
http://www.opennet.ru/opennews/art.shtml?num=14926
а почему не в 8.0 там ошибок много?
кстате, почему stable собираеться быстрее чем current? и это очень заметно...
ставлю 7.0 release (это кстате еще не стабильная)
Уязвимость во FreeBSD 6, 7 и NetBSD 4
http://www.opennet.ru/opennews/art.shtml?num=15012
Проблемы с производительностью MyISAM таблиц во FreeBSD 7.0
http://www.opennet.ru/opennews/art.shtml?num=14926
а почему не в 8.0 там ошибок много?
кстате, почему stable собираеться быстрее чем current? и это очень заметно...
Последний раз редактировалось ProFTP 2008-05-05 18:20:58, всего редактировалось 1 раз.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
Re: маленько про suexec
7.0-RELEASE по умолчанию -STABLLE && CURRENT потому, что был форк - 8.0, что касается безопасности, единственное, более-менее серьезное - http://zingelll.livejournal.com/4174.html
8.0-HEAD - не стоит ставить потому, что там включены опции options WITNESS && options ADAPTIVE*, другими словами, это - эксперементальная ветка.
8.0-HEAD - не стоит ставить потому, что там включены опции options WITNESS && options ADAPTIVE*, другими словами, это - эксперементальная ветка.
Z301171463546 - можно пожертвовать мне денег
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: маленько про suexec
в суэкзек пишет мастер-процесс апача работающий от рута.
поэтому достаточно существования директории где он находиться должен.
поэтому достаточно существования директории где он находиться должен.
Убей их всех! Бог потом рассортирует...
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: маленько про suexec
извините, не понял я смысла...lissyara писал(а):в суэкзек пишет мастер-процесс апача работающий от рута.
поэтому достаточно существования директории где он находиться должен.
что вы хотели этим сказать?
Последний раз редактировалось ProFTP 2008-05-05 23:19:51, всего редактировалось 1 раз.
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: маленько про suexec
я ошибся! мир 7.0, а ядро 8.0!
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
Re: маленько про suexec
Лисяр, у него трабл в кривых либах, ему нужно, тупо, поставить 7-STABLLE и не взрывать мозги нам всем
Z301171463546 - можно пожертвовать мне денег
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: маленько про suexec
обновил - тоже самое, но сейчас настроки такие же кроме:
поробую поменять на это
в логах нифига
в этом проблема?
на офф сайте в документации нихрена нету, блин, телепатов надо нанимать
я вообще смылс этих двух опций не понимаю, это значит включить SUEXEC для рута?
а как скрипты cgi будут запускаться? тогда будет типо: каталог www а подкаталоги www2 и cgi-bin
все ставили так как в статье? можеи из-за директивы какой-то ругаеться?
Код: Выделить всё
# suExec
SUEXEC_DOCROOT=/home
# C
SUEXEC_USERDIR=/home
Код: Выделить всё
# Корневая директория suExec
SUEXEC_DOCROOT= /
# Cубдиректория пользователя
SUEXEC_USERDIR= www
в этом проблема?
на офф сайте в документации нихрена нету, блин, телепатов надо нанимать
я вообще смылс этих двух опций не понимаю, это значит включить SUEXEC для рута?
а как скрипты cgi будут запускаться? тогда будет типо: каталог www а подкаталоги www2 и cgi-bin
все ставили так как в статье? можеи из-за директивы какой-то ругаеться?
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: маленько про suexec
бля не работает!
может из-за 22?
владелец sbin/suexec root права 755
в документации неписано что нужно поставить права от веб сервера
может из-за 22?
владелец sbin/suexec root права 755
в документации неписано что нужно поставить права от веб сервера
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: маленько про suexec
ЫЫЫЫЫЫЫ
а как еще есть способ запускать от пользователей?
я собрался на другой веб-сервер, но закончить с этим хочеться
UPD:
вapache стоит модуль пхп /mod_libphp.so
так чтобы работал suexec в пхп может нужно чтобы в скриптах было
или зачем сделали suphp.so? может из-за этого?
а как еще есть способ запускать от пользователей?
я собрался на другой веб-сервер, но закончить с этим хочеться
UPD:
вapache стоит модуль пхп /mod_libphp.so
так чтобы работал suexec в пхп может нужно чтобы в скриптах было
Код: Выделить всё
#!/usr/local/bin/php
или зачем сделали suphp.so? может из-за этого?
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
Re: маленько про suexec
пилить апачь и никак по-другому.
Z301171463546 - можно пожертвовать мне денег
-
- проходил мимо
Re: маленько про suexec
Ну и гадость этот suexec в apache (((
вообще не понятно к чесму столько сложностей и почему не написать нормальную документацию
вообще не понятно к чесму столько сложностей и почему не написать нормальную документацию
-
- проходил мимо
Re: маленько про suexec
2008-07-21 Freebsd 7.0 Apache2.2.9
В связи с какойто непонятной ситуацией с suexec в apache
Пришлость брать в руки напильник. действия такие
1. Инсталируем апач с нужными опциями,
в доке говорят что suexec не работает без ssl
2. Настраиваем apache, в частности виртуальный ssl host (/usr/local/etc/apache22/extra/httpd-ssl.conf)
Как это сделать можно найти в гугле.
в /usr/local/etc/apache22/httpd.conf не забываем добавить
(У меня он почемуто сам не добавился)
3. Правим и пересобираем suexec
Исправляем файл suexec.h замени значение дефайна AP_DOC_ROOT на
И пересобираем
4. проверяем полученый suexec и копируем его вместо старого
Не забываем что uid и gid пользователя долже быть больше 1000
Наверное этот лимит можно было бы уменьшить в файле suexec.h.
и наче в /var/log/httpd-suexec.log и вас будет что то такое
зы
Не понятно, у утилиты sudo вроде сходные задачи, и настраивается одной строкой в конфиге кому какие права дать и все. Ради чего а апаче так все завернули уму не растяжимо
В связи с какойто непонятной ситуацией с suexec в apache
Пришлость брать в руки напильник. действия такие
1. Инсталируем апач с нужными опциями,
в доке говорят что suexec не работает без ssl
Код: Выделить всё
cd /usr/ports/www/apache22
make config
make install clean
Как это сделать можно найти в гугле.
в /usr/local/etc/apache22/httpd.conf не забываем добавить
Код: Выделить всё
LoadModule suexec_module libexec/apache22/mod_suexec.so
3. Правим и пересобираем suexec
Код: Выделить всё
cd /usr/ports/www/apache22
make extract
cd /usr/ports/www/apache22/work/httpd-2.2.9/support/
Код: Выделить всё
#define AP_DOC_ROOT "/usr/local/www/vhosts/myDirWithSuExec"
Код: Выделить всё
cd /usr/ports/www/apache22/work/httpd-2.2.9/support/ (В этой же директории, для тех кто в танке :))
make suexec
Код: Выделить всё
./suexec -V
-D AP_DOC_ROOT="/usr/local/www/vhosts/myDirWithSuExec"
-D AP_GID_MIN=1000
-D AP_HTTPD_USER="www"
-D AP_LOG_EXEC="/var/log/httpd-suexec.log"
-D AP_SAFE_PATH="/usr/local/bin:/usr/local/bin:/usr/bin:/bin"
-D AP_UID_MIN=1000
-D AP_USERDIR_SUFFIX="public_html"
cp suexec /usr/local/sbin/suexec
Наверное этот лимит можно было бы уменьшить в файле suexec.h.
и наче в /var/log/httpd-suexec.log и вас будет что то такое
Должно работать.cannot run as forbidden uid (509/dspam.cgi)
зы
Не понятно, у утилиты sudo вроде сходные задачи, и настраивается одной строкой в конфиге кому какие права дать и все. Ради чего а апаче так все завернули уму не растяжимо
-
- рядовой
- Сообщения: 35
- Зарегистрирован: 2008-10-30 9:18:30
Re: маленько про suexec
у меня похожая проблема dspam в вебморде пишет
"An Error Has Occured
The following error occured while trying to process your request:
System Error. I was unable to determine your identity.
If this problem persists, please contact your administrator"
содержание httpd-vhosts.conf
dspam-error.log
уже непойму куда копать, направте плиз(((
"An Error Has Occured
The following error occured while trying to process your request:
System Error. I was unable to determine your identity.
If this problem persists, please contact your administrator"
содержание httpd-vhosts.conf
Код: Выделить всё
<VirtualHost 192.168.0.198>
ServerName 192.168.0.198
DocumentRoot "/usr/local/www/data"
SuexecUserGroup dspam dspam
<Directory "/usr/local/www/data">
SetHandler cgi-script
Options FollowSymLinks ExecCGI
AddHandler cgi-script .cgi .pl
DirectoryIndex dspam.cgi
AllowOverride none
Order allow,deny
Allow from all
</Directory>
ErrorLog /var/log/dspam/dspam-error.log
CustomLog /var/log/dspam/dspam-access.log common
Код: Выделить всё
[Wed Jan 28 17:20:18 2009] [error] [client 192.168.0.8] suexec policy violation: see suexec log for more details, referer: http://192.168.0.198/dspam.cgi
[Wed Jan 28 17:20:18 2009] [error] [client 192.168.0.8] Premature end of script headers: base.css, referer: http://192.168.0.198/dspam.cgi
[Wed Jan 28 17:20:18 2009] [error] [client 192.168.0.8] suexec policy violation: see suexec log for more details, referer: http://192.168.0.198/dspam.cgi
[Wed Jan 28 17:20:18 2009] [error] [client 192.168.0.8] Premature end of script headers: dspam-logo-small.gif, referer: http://192.168.0.198/dspam.cgi
freebsd 7.0
mysql 5.1
apache22
mysql 5.1
apache22
-
- рядовой
- Сообщения: 35
- Зарегистрирован: 2008-10-30 9:18:30
- Pez!
- старшина
- Сообщения: 436
- Зарегистрирован: 2008-01-13 20:02:24
- Откуда: москва матушка
Re: маленько про suexec
покажите ваш Suexec -V - оно впринципе вам точно говорит почему не работает
- suexec policy violation: see suexec log for more details
Всёравно все умрут, какая разница....и только серваки с фряхой будут работать ещё некоторое время после.
-
- рядовой
- Сообщения: 35
- Зарегистрирован: 2008-10-30 9:18:30
Re: маленько про suexec
Код: Выделить всё
gw-mail# suexec -V
-D AP_DOC_ROOT="/usr/local/www/data"
-D AP_GID_MIN=1000
-D AP_HTTPD_USER="www"
-D AP_LOG_EXEC="/var/log/httpd-suexec.log"
-D AP_SAFE_PATH="/usr/local/bin:/usr/local/bin:/usr/bin:/bin"
-D AP_UID_MIN=1000
-D AP_USERDIR_SUFFIX="public_html"
freebsd 7.0
mysql 5.1
apache22
mysql 5.1
apache22
- Pez!
- старшина
- Сообщения: 436
- Зарегистрирован: 2008-01-13 20:02:24
- Откуда: москва матушка
Re: маленько про suexec
Код: Выделить всё
-D AP_UID_MIN=1000
-D AP_GID_MIN=1000
Всёравно все умрут, какая разница....и только серваки с фряхой будут работать ещё некоторое время после.
-
- рядовой
- Сообщения: 35
- Зарегистрирован: 2008-10-30 9:18:30
-
- рядовой
- Сообщения: 35
- Зарегистрирован: 2008-10-30 9:18:30
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: маленько про suexec
ну, покажите уже лог этот, который он просит!
Убей их всех! Бог потом рассортирует...
-
- рядовой
- Сообщения: 35
- Зарегистрирован: 2008-10-30 9:18:30
Re: маленько про suexec
в остальных логах ничего неупоминаетьса об ошибке токо в dspam-error.log
права доступа на файл есть владелец его dspam
Код: Выделить всё
[Mon Feb 09 13:02:44 2009] [error] [client 192.168.0.8] Premature end of script headers: base.css, referer: http://gw-mail/admin.cgi
[Mon Feb 09 13:02:44 2009] [error] [client 192.168.0.8] suexec failure: could not open log file, referer: http://gw-mail/admin.cgi
[Mon Feb 09 13:02:44 2009] [error] [client 192.168.0.8] fopen: Permission denied, referer: http://gw-mail/admin.cgi
[Mon Feb 09 13:02:44 2009] [error] [client 192.168.0.8] Premature end of script headers: dspam-logo-small.gif, referer: http://gw-mail/admin.cgi
freebsd 7.0
mysql 5.1
apache22
mysql 5.1
apache22