[LINUX:3649] Re: apache/suexec

Baris Cenberci (Baris.Cenberci@Rumeli.Net)
Tue, 16 Feb 1999 14:30:34 +0200 (EET)

Burak DAYIOGLU wrote:
>
> On Tue, 16 Feb 1999, Baris Cenberci wrote:
> > Cık cık cık... Account falan açmayı web üzerinden yapmak istiyorsun
> > ha... Bence oldukça kötü bir yaklasim...
> > Ama gene de ümitsiz degilsin... Bir security açıgını göze alıyorsan,
> > dosyaların izinleriyle ve grup ownerlariyla oynaman gerekiyor..
> > (Deneyimle sabit..)
> > B.C.
>
> dosya izin ve grup owner'lari ile oynamak guzel bir fikir degil. Web'den
> yonetsel isler yapmanin guvenlik sorunu olup olmadigini tartismanin mekani
> da burasi degil; ben guvenli olacak bir bicimde ayarlarim. :) Kafani
> yorma sen...
>
> Tek derdim setuid root CGI calistirtmak... :( Baska fikri olan?
>
> sevgiler,
> bd

Olm, ne diye fırça çekiyorsun... Web üzerinden yapmaya çalııyorsan, bir
iki yolu var.. Online yapmak istiyorsan suexec i$e yaramıyor.. Hele
solaris ile ugra$iyorsan i$ler biraz daha çetrefil onun adduser'Inda,
suid da yemiyor.. Apache kesinlikle CGI'dan root'a suexec yapmayi kabul
etmiyor... Bir de a$agılıyor...

owner i$inde de, /etc/passwd, /etc/shadow ve /etc/group dosyalarının
grubunu sys yapıyorsun.. Ondan sonra perm'lerini 664'e ceviriyorsun..
sys grubundan da bir tek kullanıcın oluyor. O kullanıcının çalıtırdıgı
CGI'lar, bu dosyaları update edebiliyor..

Biliyorum mükemmel deil ama apache ile çalısıyor. Tabii ki, apache'ye
authentication falan koydugunu varsayıyorum.. (O kadar fırça çektiine
göre bunlardan haberdarsındır herhalde :))) )

B.C.

Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr'a gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/