Skip to content

suexec, die nächste

In Fortsetzung von suexec my php, baby^wapache habe ich gestern suexec auf dem ersten Produktivsystem verfügbar gemacht, und einige Unzulänglichkeiten im Debian-Setup gefunden.

Die Umstellung des Zielsystems von apache auf apache2 ging erschreckend schmerzfrei vonstatten. Die einzige Falle dabei war, dass einige Dinge (z.B. der ScriptAlias auf /usr/lib/cgi-bin) bei apache in der Serverkonfiguration steht, bei apache2 aber (IMO sinnvollerweise) in den virtual host geschrieben werden muss. Es waren also minimale Änderungen an der kopierten virtual-host-Konfiguration notwendig.

Dann suexec. Ich bin natürlich wieder in die Falle getappt, dass ich erwartet habe, dass das cgi mit den Rechten des Fileowners läuft, und ich habe wieder übersehen, dass suexec ein eigenes Log (/var/log/apache2/suexec.log) schreibt. Als nächstes musste ich die userbezogenen virtuellen Hosts von ~user/.www/www.virthost.example nach /var/www/virtual-hosts/user/www.virthost.example verschieben, da Debians suexec nur cgi-bins aus /var/www suexecen mag. /var/www/virtual-hosts muss man dann in der Konfiguration für den default virtual host auf "deny from all" setzen, damit man die Inhalte der virtual hosts nicht zusätzlich noch über den default virtual host erreichen kann. Das ist auch der Grund für die dazwischen eingeschobene Verzeichnisebene.

So weit, so gut, für die cgi-bins der Benutzer.

Nun möchte ich allerdings, wenn ich schon suexec am Start habe, auch gerne die aus Debian-Packages kommenden cgi-Scripts suexecen. Und das ist ein Punkt, wo ich vorerst bei einem knackingen "geht nicht" angekommen bin.

  • suexec suexect nur, was in /var/www liegt. Debian-Packages werfen ihre cgi-scrips aber nach /usr/lib/cgi-bin
  • suexec kann für jeden Virtual Host nur auf einen User suexecen. Bei den Scripts aus Debian-Packages wäre es aber sinnvoll, unterschiedliche Scripte auf unterschiedliche User zu mappen.

Also wird man wohl in den sauren Apfel beissen und sich darauf verlassen müssen, dass das, was aus Debian-Packages kommt, hinreichend sicher ist, dass man es mit den Rechten des Webservers laufen lassen kann. Auch wenn das bedeutet, dass einige Logs für www-data writeable sein müssen, was ich persönlich so richtig ätzend finde.

Trackbacks

Zugschlusbeobachtungen on : suphp

Show preview
Schon bei den Vorarbeiten zu diesem und diesem Artikel hat man mir sehr nahegelegt, suphp anzugucken. Das habe ich heute getan.\n\nSuphp kommt als Apache-Modul in der Debian-Package libapache2-mod-suphp daher. In Sarge ist eine 0.5-Version; in sid eine 0.6.

Zugschlusbeobachtungen on : fastcgi

Show preview
In Fortsetzung der Artikelreihe zur Entfernung von PHP-Scripts aus dem Accountkontext des Webservers ist heute FastCGI? an der Reihe.\n\nKurzzusammenfassung aus der Theorie: Es ist vermutlich performanter als suexec und suphp, bringt aber weder Erleichterun

Zugschlusbeobachtungen on : Trennung von Webapplikationen mit Extrainstanzen des Apache

Show preview
Die Artikelreihe zum Thema “Trennung von Webanwendungen untereinander”, die mit fastcgi, suphp und zwei Artikeln über das klassische suexec begann, findet heute ihren\nvorläufigen Abschluss mit dem Setup, für das ich mich letztendlich ents

Comments

Display comments as Linear | Threaded

No comments

Add Comment

Markdown format allowed
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
Form options