Hallo,
ich habe mittels des schönen Artikels in der C't und glimpse für unser Intranet einen Index über unsere Office-dokus angelegt. Ein cgi-Skript greift auf die Indexe in /var/glimpse/bereich[1-x] zu. Diese haben 755, weil lesbar für den Webserver. Das Script will jedoch auch die richtigen Files zugreifen, hier hakelts: Die Datenbereiche bereich[1-x] gehören jeweils verschiedenen Gruppen und haben die Rechte 770. Das soll auch so bleiben. Ich kann den Webserver (und das cgi-script) jedoch nur als eine dieser Gruppen zugehörig machen (httpd.conf). Wie kann ich dennoch auch die anderen Bereiche zugreifen? Kann ich das cgi-Script irgendwie als root laufen lassen? (ist wirklich nur Intern - von aussen kommen höchsten die bösen Jungs ran)
Mit freundlichen Grüßen
Jens Puruckherr
Am Sonntag, 30. Dezember 2001 14:27 schrieb Jens Puruckherr:
Kann ich das cgi-Script irgendwie als root laufen lassen? (ist wirklich nur
Also ich habe das script nun chmod u+s gemacht und es gehört root.root. Meines Verständnisses nach sollte der Server nun bei der Ausführung des Scriptes root-Rechte erhalten und darf dann immer noch nicht in ein 770-Verzeichnis sehen? auf der Konsole geht es.
Im Server error-log:
Can't do setuid [Sun Dec 30 15:24:41 2001] [error] [client 192.168.100.3] Premature end of script headers: /usr/local/httpd/cgi-bin/search.cgi
hmm, mus ich da noch mal an die Konfig ran?
Mit freundlichen Grüßen
Jens Puruckherr
Hallo!
Jens Puruckherr wrote:
Kann ich das cgi-Script irgendwie als root laufen lassen? (ist wirklich nur
Also ich habe das script nun chmod u+s gemacht und es gehört root.root. Meines Verständnisses nach sollte der Server nun bei der Ausführung des Scriptes root-Rechte erhalten und darf dann immer noch nicht in ein 770-Verzeichnis sehen? auf der Konsole geht es.
Scripte, die nicht im Binärformat vorliegen, können nicht suid gemacht werden.
Ich löse das meist so, dass ich einen speziellen Nutzer anlege (z.B. "glimpse"), der seinerseits Mitglied der verschiedenen Gruppen ist. (mit gpasswd -a <user> <gruppe> ). Nach dieser Ändeung muss der Server- Dienst meist neu gestartet werden.
Gruss Reiner
Am Sonntag, 30. Dezember 2001 14:27 schrieb Jens Puruckherr:
ich das cgi-Script irgendwie als root laufen lassen? (ist wirklich nur
Also ich habe das nun so gelöst, das der Server unter einer UID/GID läuft, die Zugriff auf die entsprechenden Bereiche hat. suexec wäre fast das richtige gewesen, aber ich habe keine VirtualHosts. Eventuell hätte ich die entsprechende Bereiche als wwwrun noch mal mounten können, aber obs das bringt?
Nun gehts zumindest und da reines Intranet, habe ich auch keine allzugroßen Sicherheitsbedenken.
Mit freundlichen Grüßen
Jens Puruckherr
lug-dd@mailman.schlittermann.de
-
Jens Puruckherr -
Reiner Klaproth