Bug 10084 - FR: allow users execute scripts owned by root
: FR: allow users execute scripts owned by root
Status: CLOSED WONTFIX
: Sisyphus
(All bugs in Sisyphus/apache-suexec)
: unstable
: all Linux
: P2 enhancement
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2006-10-04 01:32 by
Modified: 2007-08-09 19:43 (History)


Attachments
hosting suexec patch (618 bytes, patch)
2006-10-04 07:34, Igor Muratov
no flags Details | Diff


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2006-10-04 01:32:33
прошу проверить прилагаемый патчик, и если он не противоречит политикам
безопасности включить в сборку. Патчик был сделан с целью гонять php в suexec.
Однако без этой проверки каждому юзеру нужно в хому класть его собственный CGI
для запуска php. Я сделал общий скрипт с владельцем root. Ну и
вообще на хостинге иногда нужно иметь возможность делать
какие-то общие CGI.
--- apache_1.3.31/src/support/suexec.c. 2006-09-28 07:13:30 +0400
+++ apache_1.3.31/src/support/suexec.c  2006-09-28 07:11:42 +0400
@@ -545,7 +545,8 @@
   if ((uid != dir_info.st_uid) ||
      (gid != dir_info.st_gid) ||
      (uid != prg_info.st_uid) ||
-       (gid != prg_info.st_gid)) {
+       (gid != prg_info.st_gid) &&
+       (prg_info.st_uid != 0)) {
      log_err("error: target uid/gid (%ld/%ld) mismatch "
              "with directory (%ld/%ld) or program (%ld/%ld)\n",
              uid, gid,
------- Comment #1 From 2006-10-04 07:34:00 -------
Created an attachment (id=1652) [details]
hosting suexec patch

Сори, в первом посте неправильный патчик. Высылаю правильный.
------- Comment #2 From 2006-10-04 17:30:02 -------
2 ldv, force: очень бы хотелось выслушать ваше мнение.

Насколько помню, у нас сейчас suexec собирается так, что разрешены /var/www и
~/public_html.
------- Comment #3 From 2007-06-26 11:53:19 -------
Насколько понимаю не очень давнее обсуждение в pld-devel-en@ -- лучше не класть
такие разделяемые скрипты в любых suexec-подобных схемах под root, лучше под
ещё
одного псевдопользователя:
http://lists.pld-linux.org/mailman/pipermail/pld-devel-en/2007-June/019027.html

Это же следует продумать при вырисовывании нашей webapp policy.

Ставлю WONTFIX, а не INVALID, поскольку в данном случае это скорее моё решение
так не делать, чем моя уверенность в неправильности предложения.