маленько про suexec

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: маленько про suexec

Непрочитанное сообщение ProFTP » 2008-05-05 17:38:12

я не знаю как этого сделать!
ставлю 7.0 release (это кстате еще не стабильная)

Уязвимость во FreeBSD 6, 7 и NetBSD 4
http://www.opennet.ru/opennews/art.shtml?num=15012
Проблемы с производительностью MyISAM таблиц во FreeBSD 7.0
http://www.opennet.ru/opennews/art.shtml?num=14926


а почему не в 8.0 там ошибок много?
кстате, почему stable собираеться быстрее чем current? и это очень заметно...
Последний раз редактировалось ProFTP 2008-05-05 18:20:58, всего редактировалось 1 раз.
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: маленько про suexec

Непрочитанное сообщение zingel » 2008-05-05 18:02:40

7.0-RELEASE по умолчанию -STABLLE && CURRENT потому, что был форк - 8.0, что касается безопасности, единственное, более-менее серьезное - http://zingelll.livejournal.com/4174.html
8.0-HEAD - не стоит ставить потому, что там включены опции options WITNESS && options ADAPTIVE*, другими словами, это - эксперементальная ветка.
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35266
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: маленько про suexec

Непрочитанное сообщение Alex Keda » 2008-05-05 22:50:40

в суэкзек пишет мастер-процесс апача работающий от рута.
поэтому достаточно существования директории где он находиться должен.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: маленько про suexec

Непрочитанное сообщение ProFTP » 2008-05-05 23:13:51

lissyara писал(а):в суэкзек пишет мастер-процесс апача работающий от рута.
поэтому достаточно существования директории где он находиться должен.
извините, не понял я смысла...
что вы хотели этим сказать?
Последний раз редактировалось ProFTP 2008-05-05 23:19:51, всего редактировалось 1 раз.
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: маленько про suexec

Непрочитанное сообщение ProFTP » 2008-05-05 23:19:18

я ошибся! мир 7.0, а ядро 8.0! :mrgreen: :twisted: :P :oops:
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: маленько про suexec

Непрочитанное сообщение zingel » 2008-05-06 3:02:53

Лисяр, у него трабл в кривых либах, ему нужно, тупо, поставить 7-STABLLE и не взрывать мозги нам всем =)
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: маленько про suexec

Непрочитанное сообщение ProFTP » 2008-05-13 11:50:58

обновил - тоже самое, но сейчас настроки такие же кроме:

Код: Выделить всё

# suExec
SUEXEC_DOCROOT=/home
# C
SUEXEC_USERDIR=/home
поробую поменять на это

Код: Выделить всё

# Корневая директория suExec
SUEXEC_DOCROOT=         /
# Cубдиректория пользователя
SUEXEC_USERDIR=         www
в логах нифига

в этом проблема?
на офф сайте в документации нихрена нету, блин, телепатов надо нанимать :twisted: :evil: :evil: :evil: :evil:
я вообще смылс этих двух опций не понимаю, это значит включить SUEXEC для рута?

а как скрипты cgi будут запускаться? тогда будет типо: каталог www а подкаталоги www2 и cgi-bin

все ставили так как в статье? можеи из-за директивы какой-то ругаеться?
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: маленько про suexec

Непрочитанное сообщение ProFTP » 2008-05-13 14:56:27

бля не работает!

может из-за 22?
владелец sbin/suexec root права 755

в документации неписано что нужно поставить права от веб сервера :roll:
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: маленько про suexec

Непрочитанное сообщение ProFTP » 2008-05-14 6:33:30

ЫЫЫЫЫЫЫ

а как еще есть способ запускать от пользователей?

я собрался на другой веб-сервер, но закончить с этим хочеться :)


UPD:

вapache стоит модуль пхп /mod_libphp.so

так чтобы работал suexec в пхп может нужно чтобы в скриптах было

Код: Выделить всё

 #!/usr/local/bin/php

или зачем сделали suphp.so? может из-за этого?
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: маленько про suexec

Непрочитанное сообщение zingel » 2008-06-23 16:00:56

пилить апачь и никак по-другому.
Z301171463546 - можно пожертвовать мне денег

stofel1
проходил мимо

Re: маленько про suexec

Непрочитанное сообщение stofel1 » 2008-07-21 12:01:01

Ну и гадость этот suexec в apache :((((
вообще не понятно к чесму столько сложностей и почему не написать нормальную документацию

stofel1
проходил мимо

Re: маленько про suexec

Непрочитанное сообщение stofel1 » 2008-07-21 16:03:23

2008-07-21 Freebsd 7.0 Apache2.2.9

В связи с какойто непонятной ситуацией с suexec в apache
Пришлость брать в руки напильник. действия такие
1. Инсталируем апач с нужными опциями,
в доке говорят что suexec не работает без ssl

Код: Выделить всё

cd /usr/ports/www/apache22
make config
make install clean
2. Настраиваем apache, в частности виртуальный ssl host (/usr/local/etc/apache22/extra/httpd-ssl.conf)
Как это сделать можно найти в гугле.
в /usr/local/etc/apache22/httpd.conf не забываем добавить

Код: Выделить всё

LoadModule suexec_module libexec/apache22/mod_suexec.so
(У меня он почемуто сам не добавился)

3. Правим и пересобираем suexec

Код: Выделить всё

cd /usr/ports/www/apache22
make extract
cd /usr/ports/www/apache22/work/httpd-2.2.9/support/
Исправляем файл suexec.h замени значение дефайна AP_DOC_ROOT на

Код: Выделить всё

#define AP_DOC_ROOT "/usr/local/www/vhosts/myDirWithSuExec"
И пересобираем

Код: Выделить всё

cd /usr/ports/www/apache22/work/httpd-2.2.9/support/ (В этой же директории, для тех кто в танке :))
make suexec
4. проверяем полученый suexec и копируем его вместо старого

Код: Выделить всё

./suexec -V
 -D AP_DOC_ROOT="/usr/local/www/vhosts/myDirWithSuExec"
 -D AP_GID_MIN=1000
 -D AP_HTTPD_USER="www"
 -D AP_LOG_EXEC="/var/log/httpd-suexec.log"
 -D AP_SAFE_PATH="/usr/local/bin:/usr/local/bin:/usr/bin:/bin"
 -D AP_UID_MIN=1000
 -D AP_USERDIR_SUFFIX="public_html"

cp suexec /usr/local/sbin/suexec
Не забываем что uid и gid пользователя долже быть больше 1000
Наверное этот лимит можно было бы уменьшить в файле suexec.h.
и наче в /var/log/httpd-suexec.log и вас будет что то такое
cannot run as forbidden uid (509/dspam.cgi)
Должно работать.

зы
Не понятно, у утилиты sudo вроде сходные задачи, и настраивается одной строкой в конфиге кому какие права дать и все. Ради чего а апаче так все завернули уму не растяжимо :(

nick_name
рядовой
Сообщения: 35
Зарегистрирован: 2008-10-30 9:18:30

Re: маленько про suexec

Непрочитанное сообщение nick_name » 2009-01-28 14:19:06

у меня похожая проблема dspam в вебморде пишет
"An Error Has Occured
The following error occured while trying to process your request:
System Error. I was unable to determine your identity.

If this problem persists, please contact your administrator"

содержание httpd-vhosts.conf

Код: Выделить всё

<VirtualHost 192.168.0.198>
ServerName 192.168.0.198
DocumentRoot "/usr/local/www/data"
SuexecUserGroup dspam dspam
<Directory "/usr/local/www/data">
SetHandler cgi-script
Options FollowSymLinks  ExecCGI
AddHandler cgi-script .cgi .pl
DirectoryIndex dspam.cgi
AllowOverride none
Order allow,deny
Allow from all
</Directory>

ErrorLog /var/log/dspam/dspam-error.log
CustomLog /var/log/dspam/dspam-access.log common
dspam-error.log

Код: Выделить всё

[Wed Jan 28 17:20:18 2009] [error] [client 192.168.0.8] suexec policy violation: see suexec log for more details, referer: http://192.168.0.198/dspam.cgi
[Wed Jan 28 17:20:18 2009] [error] [client 192.168.0.8] Premature end of script headers: base.css, referer: http://192.168.0.198/dspam.cgi
[Wed Jan 28 17:20:18 2009] [error] [client 192.168.0.8] suexec policy violation: see suexec log for more details, referer: http://192.168.0.198/dspam.cgi
[Wed Jan 28 17:20:18 2009] [error] [client 192.168.0.8] Premature end of script headers: dspam-logo-small.gif, referer: http://192.168.0.198/dspam.cgi
уже непойму куда копать, направте плиз(((
freebsd 7.0
mysql 5.1
apache22

nick_name
рядовой
Сообщения: 35
Зарегистрирован: 2008-10-30 9:18:30

Re: маленько про suexec

Непрочитанное сообщение nick_name » 2009-01-30 12:21:11

up :( :( :(
freebsd 7.0
mysql 5.1
apache22

Аватара пользователя
Pez!
старшина
Сообщения: 436
Зарегистрирован: 2008-01-13 20:02:24
Откуда: москва матушка

Re: маленько про suexec

Непрочитанное сообщение Pez! » 2009-01-31 22:35:02

покажите ваш Suexec -V - оно впринципе вам точно говорит почему не работает
  • suexec policy violation: see suexec log for more details
Всёравно все умрут, какая разница....и только серваки с фряхой будут работать ещё некоторое время после.

nick_name
рядовой
Сообщения: 35
Зарегистрирован: 2008-10-30 9:18:30

Re: маленько про suexec

Непрочитанное сообщение nick_name » 2009-02-02 5:52:12

Код: Выделить всё

gw-mail# suexec -V
 -D AP_DOC_ROOT="/usr/local/www/data"
 -D AP_GID_MIN=1000
 -D AP_HTTPD_USER="www"
 -D AP_LOG_EXEC="/var/log/httpd-suexec.log"
 -D AP_SAFE_PATH="/usr/local/bin:/usr/local/bin:/usr/bin:/bin"
 -D AP_UID_MIN=1000
 -D AP_USERDIR_SUFFIX="public_html"
скрипты дспама лежат в /usr/local/www/data
freebsd 7.0
mysql 5.1
apache22

Аватара пользователя
Pez!
старшина
Сообщения: 436
Зарегистрирован: 2008-01-13 20:02:24
Откуда: москва матушка

Re: маленько про suexec

Непрочитанное сообщение Pez! » 2009-02-02 15:46:13

Код: Выделить всё

-D AP_UID_MIN=1000
-D AP_GID_MIN=1000
вот эти опции говорят, что суэкзек может выполнить скрипты от имени пользователя. id которого больше или равен 1000. У дспама id горазда ниже ) пересобери апач указав значения этих опций чтоб можно было выполнять скрипты от дспам - А вообще это не очень секьюрно - интересно услышать, что более опытные люди скажут.
Всёравно все умрут, какая разница....и только серваки с фряхой будут работать ещё некоторое время после.

nick_name
рядовой
Сообщения: 35
Зарегистрирован: 2008-10-30 9:18:30

Re: маленько про suexec

Непрочитанное сообщение nick_name » 2009-02-03 9:54:29

uid gid dspam'а больше 1000
freebsd 7.0
mysql 5.1
apache22

nick_name
рядовой
Сообщения: 35
Зарегистрирован: 2008-10-30 9:18:30

Re: маленько про suexec

Непрочитанное сообщение nick_name » 2009-02-06 6:32:06

up(((((((((
freebsd 7.0
mysql 5.1
apache22

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35266
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: маленько про suexec

Непрочитанное сообщение Alex Keda » 2009-02-06 22:17:47

ну, покажите уже лог этот, который он просит!
Убей их всех! Бог потом рассортирует...

nick_name
рядовой
Сообщения: 35
Зарегистрирован: 2008-10-30 9:18:30

Re: маленько про suexec

Непрочитанное сообщение nick_name » 2009-02-09 10:02:30

в остальных логах ничего неупоминаетьса об ошибке токо в dspam-error.log

Код: Выделить всё

[Mon Feb 09 13:02:44 2009] [error] [client 192.168.0.8] Premature end of script headers: base.css, referer: http://gw-mail/admin.cgi
[Mon Feb 09 13:02:44 2009] [error] [client 192.168.0.8] suexec failure: could not open log file, referer: http://gw-mail/admin.cgi
[Mon Feb 09 13:02:44 2009] [error] [client 192.168.0.8] fopen: Permission denied, referer: http://gw-mail/admin.cgi
[Mon Feb 09 13:02:44 2009] [error] [client 192.168.0.8] Premature end of script headers: dspam-logo-small.gif, referer: http://gw-mail/admin.cgi
права доступа на файл есть владелец его dspam
freebsd 7.0
mysql 5.1
apache22