маленько про suexec

[ProFTP]

я не знаю как этого сделать!
ставлю 7.0 release (это кстате еще не стабильная)

Уязвимость во FreeBSD 6, 7 и NetBSD 4
http://www.opennet.ru/opennews/art.shtml?num=15012
Проблемы с производительностью MyISAM таблиц во FreeBSD 7.0
http://www.opennet.ru/opennews/art.shtml?num=14926


а почему не в 8.0 там ошибок много?
кстате, почему stable собираеться быстрее чем current? и это очень заметно...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

7.0-RELEASE по умолчанию -STABLLE && CURRENT потому, что был форк - 8.0, что касается безопасности, единственное, более-менее серьезное - http://zingelll.livejournal.com/4174.html
8.0-HEAD - не стоит ставить потому, что там включены опции options WITNESS && options ADAPTIVE*, другими словами, это - эксперементальная ветка.

[Alex Keda]

в суэкзек пишет мастер-процесс апача работающий от рута.
поэтому достаточно существования директории где он находиться должен.

[ProFTP]

в суэкзек пишет мастер-процесс апача работающий от рута.
поэтому достаточно существования директории где он находиться должен.

извините, не понял я смысла...
что вы хотели этим сказать?

[ProFTP]

я ошибся! мир 7.0, а ядро 8.0!

[zingel]

Лисяр, у него трабл в кривых либах, ему нужно, тупо, поставить 7-STABLLE и не взрывать мозги нам всем

[ProFTP]

обновил - тоже самое, но сейчас настроки такие же кроме:

Код: Выделить всё

# suExec
SUEXEC_DOCROOT=/home
# C
SUEXEC_USERDIR=/home

поробую поменять на это

Код: Выделить всё

# Корневая директория suExec
SUEXEC_DOCROOT=         /
# Cубдиректория пользователя
SUEXEC_USERDIR=         www

в логах нифига

в этом проблема?
на офф сайте в документации нихрена нету, блин, телепатов надо нанимать
я вообще смылс этих двух опций не понимаю, это значит включить SUEXEC для рута?

а как скрипты cgi будут запускаться? тогда будет типо: каталог www а подкаталоги www2 и cgi-bin

все ставили так как в статье? можеи из-за директивы какой-то ругаеться?

[ProFTP]

бля не работает!

может из-за 22?
владелец sbin/suexec root права 755

в документации неписано что нужно поставить права от веб сервера

[ProFTP]

ЫЫЫЫЫЫЫ

а как еще есть способ запускать от пользователей?

я собрался на другой веб-сервер, но закончить с этим хочеться


UPD:

вapache стоит модуль пхп /mod_libphp.so

так чтобы работал suexec в пхп может нужно чтобы в скриптах было

Код: Выделить всё

 #!/usr/local/bin/php

или зачем сделали suphp.so? может из-за этого?

[zingel]

пилить апачь и никак по-другому.

[stofel1]

Ну и гадость этот suexec в apache (((
вообще не понятно к чесму столько сложностей и почему не написать нормальную документацию

[stofel1]

2008-07-21 Freebsd 7.0 Apache2.2.9

В связи с какойто непонятной ситуацией с suexec в apache
Пришлость брать в руки напильник. действия такие
1. Инсталируем апач с нужными опциями,
в доке говорят что suexec не работает без ssl

Код: Выделить всё

cd /usr/ports/www/apache22
make config
make install clean

2. Настраиваем apache, в частности виртуальный ssl host (/usr/local/etc/apache22/extra/httpd-ssl.conf)
Как это сделать можно найти в гугле.
в /usr/local/etc/apache22/httpd.conf не забываем добавить

Код: Выделить всё

LoadModule suexec_module libexec/apache22/mod_suexec.so

(У меня он почемуто сам не добавился)

3. Правим и пересобираем suexec

Код: Выделить всё

cd /usr/ports/www/apache22
make extract
cd /usr/ports/www/apache22/work/httpd-2.2.9/support/

Исправляем файл suexec.h замени значение дефайна AP_DOC_ROOT на

Код: Выделить всё

#define AP_DOC_ROOT "/usr/local/www/vhosts/myDirWithSuExec"

И пересобираем

Код: Выделить всё

cd /usr/ports/www/apache22/work/httpd-2.2.9/support/ (В этой же директории, для тех кто в танке :))
make suexec

4. проверяем полученый suexec и копируем его вместо старого

Код: Выделить всё

./suexec -V
 -D AP_DOC_ROOT="/usr/local/www/vhosts/myDirWithSuExec"
 -D AP_GID_MIN=1000
 -D AP_HTTPD_USER="www"
 -D AP_LOG_EXEC="/var/log/httpd-suexec.log"
 -D AP_SAFE_PATH="/usr/local/bin:/usr/local/bin:/usr/bin:/bin"
 -D AP_UID_MIN=1000
 -D AP_USERDIR_SUFFIX="public_html"

cp suexec /usr/local/sbin/suexec

Не забываем что uid и gid пользователя долже быть больше 1000
Наверное этот лимит можно было бы уменьшить в файле suexec.h.
и наче в /var/log/httpd-suexec.log и вас будет что то такое

cannot run as forbidden uid (509/dspam.cgi)

Должно работать.

зы
Не понятно, у утилиты sudo вроде сходные задачи, и настраивается одной строкой в конфиге кому какие права дать и все. Ради чего а апаче так все завернули уму не растяжимо

[nick_name]

у меня похожая проблема dspam в вебморде пишет
"An Error Has Occured
The following error occured while trying to process your request:
System Error. I was unable to determine your identity.

If this problem persists, please contact your administrator"

содержание httpd-vhosts.conf

Код: Выделить всё

<VirtualHost 192.168.0.198>
ServerName 192.168.0.198
DocumentRoot "/usr/local/www/data"
SuexecUserGroup dspam dspam
<Directory "/usr/local/www/data">
SetHandler cgi-script
Options FollowSymLinks  ExecCGI
AddHandler cgi-script .cgi .pl
DirectoryIndex dspam.cgi
AllowOverride none
Order allow,deny
Allow from all
</Directory>

ErrorLog /var/log/dspam/dspam-error.log
CustomLog /var/log/dspam/dspam-access.log common

dspam-error.log

Код: Выделить всё

[Wed Jan 28 17:20:18 2009] [error] [client 192.168.0.8] suexec policy violation: see suexec log for more details, referer: http://192.168.0.198/dspam.cgi
[Wed Jan 28 17:20:18 2009] [error] [client 192.168.0.8] Premature end of script headers: base.css, referer: http://192.168.0.198/dspam.cgi
[Wed Jan 28 17:20:18 2009] [error] [client 192.168.0.8] suexec policy violation: see suexec log for more details, referer: http://192.168.0.198/dspam.cgi
[Wed Jan 28 17:20:18 2009] [error] [client 192.168.0.8] Premature end of script headers: dspam-logo-small.gif, referer: http://192.168.0.198/dspam.cgi

уже непойму куда копать, направте плиз(((

[nick_name]

up

[Pez!]

покажите ваш Suexec -V - оно впринципе вам точно говорит почему не работает

• suexec policy violation: see suexec log for more details

[nick_name]

Код: Выделить всё

gw-mail# suexec -V
 -D AP_DOC_ROOT="/usr/local/www/data"
 -D AP_GID_MIN=1000
 -D AP_HTTPD_USER="www"
 -D AP_LOG_EXEC="/var/log/httpd-suexec.log"
 -D AP_SAFE_PATH="/usr/local/bin:/usr/local/bin:/usr/bin:/bin"
 -D AP_UID_MIN=1000
 -D AP_USERDIR_SUFFIX="public_html"

скрипты дспама лежат в /usr/local/www/data

[Pez!]

Код: Выделить всё

-D AP_UID_MIN=1000
-D AP_GID_MIN=1000

вот эти опции говорят, что суэкзек может выполнить скрипты от имени пользователя. id которого больше или равен 1000. У дспама id горазда ниже ) пересобери апач указав значения этих опций чтоб можно было выполнять скрипты от дспам - А вообще это не очень секьюрно - интересно услышать, что более опытные люди скажут.

[nick_name]

uid gid dspam'а больше 1000

[nick_name]

up(((((((((

[Alex Keda]

ну, покажите уже лог этот, который он просит!

[nick_name]

в остальных логах ничего неупоминаетьса об ошибке токо в dspam-error.log

Код: Выделить всё

[Mon Feb 09 13:02:44 2009] [error] [client 192.168.0.8] Premature end of script headers: base.css, referer: http://gw-mail/admin.cgi
[Mon Feb 09 13:02:44 2009] [error] [client 192.168.0.8] suexec failure: could not open log file, referer: http://gw-mail/admin.cgi
[Mon Feb 09 13:02:44 2009] [error] [client 192.168.0.8] fopen: Permission denied, referer: http://gw-mail/admin.cgi
[Mon Feb 09 13:02:44 2009] [error] [client 192.168.0.8] Premature end of script headers: dspam-logo-small.gif, referer: http://gw-mail/admin.cgi

права доступа на файл есть владелец его dspam