ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА














     АРХИВ :: Apache-Talk
Apache-Talk mailing list archive (apache-talk@lists.lexa.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [apache-talk] Apache@setuid CGI ?

According to Stanislav Malyshev a.k.a Frodo
> AVG>> > 
> AVG>> > А suexec не пробовали, кстати? SUID-ный бинарник, работающий с базами
> AVG>> > данных... Да еще в общедоступном каталоге... Не стремно?
> AVG>> Как раз не в общедоступном. В том и проблема, что не получается его
> 
> Секундочку. Если он недоступен nobody (по крайней мере как --x), то как
> Апач его запустит? А если доступен - значит общедоступен, по крайней мере
> - доступен всем, кто имеет право запускать что-либо на Вашем сервере, а
> при разумной доле паранойи - можно сказать, что всем, кто может на него
> зайти.
Эт-то понятно, можно не объяснять. Бинарник доступен как --x для nobody.
Хочется сделать каталог, с файлами в котором оперирует этот бинарник,
недоступным для nobody и прочих other (---).
Интересен сам процесс в цепочке (страница, выданная апачем)--(вызов cgi)--
<<(формирование им динамической страницы)--(прием параметров)--(открытие баз и
чтение/запись в них)>>--(конец работы) 
Причем мыслилось, что все, что между <<  >> делается cgi в рамках одного
процесса, setuid-ного. Но где-то затесались права апача.
Сейчас уже хочется просто понять, возможно ли вообще такое. Если нет, то
других способов масса, в том числе и те, что Вы рекомендуете
> 
> AVG>> полностью закрыть, без права поиска для other ничего не работает.
> AVG>> А бинарник кому попало запустить себя не дает.
> 
> В suexec на это штук 10 проверок. Вы уверены, что Вы все учли? Способов
Скорее всего, не все. Да оно и не надо. Сервер не публичный, куча всяких
заборов вокруг нагорожена. Плюс дикое количество аргументов, передаваемых
зтому бинарнику. Речь-то о другом
> запустит скрипт через Апач с произвольными данными великое множество.
> handler, SSI и еще куча. Просто suexec уже кучу времени вылизывают, почему
> бы не пользоваться?
разбираться надо. А это уже есть.
> -- 
> frodo@sharat.co.il    \/  There shall be counsels taken
> Stanislav Malyshev    /\  Stronger than Morgul-spells
> phone +972-2-6245112  /\              JRRT LotR.
> http://sharat.co.il/frodo/    whois:!SM8333
> 
> 
> =============================================================================
> =               Apache-Talk@lists.lexa.ru mailing list                      =
> Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
> =       Archive avaliable at http://www.lexa.ru/apache-talk                 =
> 
> 


-- 
Alexandr V. Goncharov,  | Digital Networks, Tomsktelecom 
AGV-RIPE,                | agv@tomsknet.ru 
AGV3-RIPN                | phone: +7(382-2)562510 
 
     
=============================================================================
=               Apache-Talk@lists.lexa.ru mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =

 



Copyright © Lexa Software, 1996-2009.