apache22 suexec uidmin

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

apache22 suexec uidmin

Непрочитанное сообщение alex3 » 2008-10-30 14:14:04

Возможно ламерский вопрос, но уже полдня бьюсь.
Захотел прикрутить вебморду к dspam. настроил апач как положено... с suexec-ом. при попытке загрузить страницу - кричит что такой uid/gid forbidden. Рылся в доках, нашел такую опцию --with-suexec-uidmin= и --with-suexec-gidmin= .. проверил в исходниках (в портах), там они оба равны 1000. как их сменить? у меня юзер и группа имеют id гораздо меньший.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Raven2000
-=_UNIX_=-
Сообщения: 4425
Зарегистрирован: 2006-10-29 17:59:13
Откуда: Там, где нас нет.
Контактная информация:

Re: apache22 suexec uidmin

Непрочитанное сообщение Raven2000 » 2008-10-30 14:40:09

вывали что есть, логи.
Если хочешь разобраться... Так иди и разбирайся!
[ igNix.ru | Технология жизни - технологии будущего ] [ Forum.igNix.ru ]

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: apache22 suexec uidmin

Непрочитанное сообщение alex3 » 2008-10-30 14:44:22

httpd-error.log

Код: Выделить всё

[Thu Oct 30 13:26:45 2008] [error] [client 10.0.0.234] File does not exist: /xxx/www/dspam/favicon.ico, referer: http://dspam.xxx.ru/
[Thu Oct 30 13:26:46 2008] [error] [client 10.0.0.234] suexec policy violation:see suexec log for more details
[Thu Oct 30 13:26:46 2008] [error] [client 10.0.0.234] Premature end of script headers: dspam.cgi
[Thu Oct 30 13:26:46 2008] [error] [client 10.0.0.234] File does not exist: /xxx/www/dspam/favicon.ico, referer: http://dspam.xxx.ru/
httpd-suexec.log

Код: Выделить всё

[2008-10-30 13:26:45]: cannot run as forbidden uid (26/dspam.cgi)
[2008-10-30 13:26:45]: uid: (26/mailnull) gid: (6/mail) cmd: dspam.cgi
[2008-10-30 13:26:45]: cannot run as forbidden uid (26/dspam.cgi)
[2008-10-30 13:26:45]: uid: (26/mailnull) gid: (6/mail) cmd: dspam.cgi
[2008-10-30 13:26:45]: cannot run as forbidden uid (26/dspam.cgi)
[2008-10-30 13:26:46]: uid: (26/mailnull) gid: (6/mail) cmd: dspam.cgi
[2008-10-30 13:26:46]: cannot run as forbidden uid (26/dspam.cgi)
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: apache22 suexec uidmin

Непрочитанное сообщение alex3 » 2008-10-30 15:15:04

вопрос сводится к тому, как при установке из портов прописывать опции configure? можно лопатить makefile, но это не выход... при обновлении портов все слетит.
это серьезный минус при установке из портов, против установки из исходников...
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35283
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: apache22 suexec uidmin

Непрочитанное сообщение Alex Keda » 2008-10-30 16:01:31

подвесь мдулем, персонально для этого виртуалхоста
Убей их всех! Бог потом рассортирует...

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: apache22 suexec uidmin

Непрочитанное сообщение alex3 » 2008-10-30 16:57:17

понятно...я до таких глубин апач не изучал, но, видимо, пришла пора. :(
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

blessendor
проходил мимо

Re: apache22 suexec uidmin

Непрочитанное сообщение blessendor » 2009-02-16 12:52:52

Корректная сборка Apache 2.2 с опцией SUEXEC на FreeBSD 6.3

Код: Выделить всё

# cd /usr/ports/www/apache22
# make config

Читать вывод:

Код: Выделить всё

# make show-options | less

Цитирую относящийся к задаче фрагмент:

Код: Выделить всё

##            SUEXEC_DOCROOT:     SuExec root directory
##            SUEXEC_USERDIR:     User subdirectory (default public_html)
##            SUEXEC_SAFEPATH:    Set the safepath
##            SUEXEC_LOGFILE:     Set log file for suexec (default: /var/log/httpd-suexec.log)
##            SUEXEC_UIDMIN:      Minimal allowed UID (default 1000, нативное значение Apache - 500)
##            SUEXEC_GIDMIN:      Minimal allowed GID (default 1000 нативное значение Apache - 500)
##            SUEXEC_CALLER:      User allowed to call SuExec (default: ${WWWOWN} (www))
##            SUEXEC_UMASK:       Defines umask for suexec'd process(default: unset)


Необходимые значения параметров (как видно из вывода, в умолчательной конфигурации SUEXEC доступен только для простых пользователей) прописать в /etc/make.conf:

Код: Выделить всё

SUEXEC_UIDMIN=900
SUEXEC_GIDMIN=900
SUEXEC_LOGFILE=/var/log/httpd-suexec_custom.log


Ну и как обычно:

Код: Выделить всё

# make
# make install
# make clean


Теперь suexec в Apache-2.2 будет работать, причём работать как надо.

Аватара пользователя
criminalist
мл. сержант
Сообщения: 74
Зарегистрирован: 2010-02-01 19:56:15

Re: apache22 suexec uidmin

Непрочитанное сообщение criminalist » 2011-03-20 0:05:39

Такая же беда все уже сил нет, вы победили или нет ?
пересборка апача с настройками в make.conf результата не дает ( не подхватывает их что ли.

Кто нибудь может выложить вдовес рабочий виртуальный хост (индейца) с fcgid ?

Код: Выделить всё

[2011-03-20 02:47:55]: command not in docroot (/usr/local/bin/php-cgi)
[2011-03-20 02:48:06]: uid: (80/www) gid: (80/www) cmd: php.cgi
[2011-03-20 02:48:06]: cannot run as forbidden uid (80/php.cgi)

Код: Выделить всё

/cgi-bin/php.cgi

Код: Выделить всё

#!/bin/bash
PHP_CGI=/usr/local/bin/php-cgi
PHP_FCGI_CHILDREN=4
PHP_FCGI_MAX_REQUESTS=1000
export PHP_FCGI_CHILDREN
export PHP_FCGI_MAX_REQUESTS
exec $PHP_CGI

Код: Выделить всё

exeplay# suexec -V
 -D AP_DOC_ROOT="/usr/local/www/data"
 -D AP_GID_MIN=1000
 -D AP_HTTPD_USER="www"
 -D AP_LOG_EXEC="/var/log/httpd-suexec.log"
 -D AP_SAFE_PATH="/usr/local/bin:/usr/local/bin:/usr/bin:/bin"
 -D AP_UID_MIN=1000
 -D AP_USERDIR_SUFFIX="public_html"

В итоге на странице Internal Server Error

Ничего что мы видим UID_MIN=1000 а www 80 ? или собстно в этом и есть косяк ?