10084 2006-10-04 01:32:33 +0400 FR: allow users execute scripts owned by root 2007-08-09 19:43:52 +0400 1 1 4 Development Sisyphus apache-suexec unstable all Linux CLOSED WONTFIX P2 enhancement --- 1 migor mike at cas crux ender lakostis ldv mike mithraen qa_viy rider shaba solo viy vvk qa-sisyphus oldest_to_newest 41113 0 migor 2006-10-04 01:32:33 +0400 прошу проверить прилагаемый патчик, и если он не противоречит политикам безопасности включить в сборку. Патчик был сделан с целью гонять php в suexec. Однако без этой проверки каждому юзеру нужно в хому класть его собственный CGI для запуска php. Я сделал общий скрипт с владельцем root. Ну и вообще на хостинге иногда нужно иметь возможность делать какие-то общие CGI. --- apache_1.3.31/src/support/suexec.c. 2006-09-28 07:13:30 +0400 +++ apache_1.3.31/src/support/suexec.c 2006-09-28 07:11:42 +0400 @@ -545,7 +545,8 @@ if ((uid != dir_info.st_uid) || (gid != dir_info.st_gid) || (uid != prg_info.st_uid) || - (gid != prg_info.st_gid)) { + (gid != prg_info.st_gid) && + (prg_info.st_uid != 0)) { log_err("error: target uid/gid (%ld/%ld) mismatch " "with directory (%ld/%ld) or program (%ld/%ld)\n", uid, gid, 41117 1 1652 migor 2006-10-04 07:34:00 +0400 Created attachment 1652 hosting suexec patch Сори, в первом посте неправильный патчик. Высылаю правильный. 41131 2 mike 2006-10-04 17:30:02 +0400 2 ldv, force: очень бы хотелось выслушать ваше мнение. Насколько помню, у нас сейчас suexec собирается так, что разрешены /var/www и ~/public_html. 51983 3 mike 2007-06-26 11:53:19 +0400 Насколько понимаю не очень давнее обсуждение в pld-devel-en@ -- лучше не класть такие разделяемые скрипты в любых suexec-подобных схемах под root, лучше под ещё одного псевдопользователя: http://lists.pld-linux.org/mailman/pipermail/pld-devel-en/2007-June/019027.html Это же следует продумать при вырисовывании нашей webapp policy. Ставлю WONTFIX, а не INVALID, поскольку в данном случае это скорее моё решение так не делать, чем моя уверенность в неправильности предложения. 1652 2006-10-04 07:34:00 +0400 2006-10-04 07:34:00 +0400 hosting suexec patch apache-1.3.31rusPL30.19-alt-suexec.patch text/plain 618 migor LS0tIGFwYWNoZV8xLjMuMzEvc3JjL3N1cHBvcnQvc3VleGVjLmMuCTIwMDYtMDktMjggMDc6MTM6 MzAgKzA0MDAKKysrIGFwYWNoZV8xLjMuMzEvc3JjL3N1cHBvcnQvc3VleGVjLmMJMjAwNi0wOS0y OCAwNzoxMTo0MiArMDQwMApAQCAtNTQzLDEwICs1NDMsMTEgQEAKICAgICAgKiBFcnJvciBvdXQg aWYgdGhlIHRhcmdldCBuYW1lL2dyb3VwIGlzIGRpZmZlcmVudCBmcm9tCiAgICAgICogdGhlIG5h bWUvZ3JvdXAgb2YgdGhlIGN3ZCBvciB0aGUgcHJvZ3JhbS4KICAgICAgKi8KLSAgICBpZiAoKHVp ZCAhPSBkaXJfaW5mby5zdF91aWQpIHx8CisgICAgaWYgKCgodWlkICE9IGRpcl9pbmZvLnN0X3Vp ZCkgfHwKIAkoZ2lkICE9IGRpcl9pbmZvLnN0X2dpZCkgfHwKIAkodWlkICE9IHByZ19pbmZvLnN0 X3VpZCkgfHwKLQkoZ2lkICE9IHByZ19pbmZvLnN0X2dpZCkpIHsKKwkoZ2lkICE9IHByZ19pbmZv LnN0X2dpZCkpICYmCisJKHByZ19pbmZvLnN0X3VpZCAhPSAwKSkgewogCWxvZ19lcnIoImVycm9y OiB0YXJnZXQgdWlkL2dpZCAoJWxkLyVsZCkgbWlzbWF0Y2ggIgogCQkid2l0aCBkaXJlY3Rvcnkg KCVsZC8lbGQpIG9yIHByb2dyYW0gKCVsZC8lbGQpXG4iLAogCQl1aWQsIGdpZCwK