Problem mit SuExec

[flibbi]

Hallo,

nach unzähligen Postings die ich hier gelesen habe, poste ich mal selbst.

Ich hab mir den Apache 1.3.27 inkl PHP 4.3.0, OpenSLL usw. installiert, läuft soweit auch alles bis aufs SueXEC (in Verbindung mit Confixx).

Und zwar werden meine CGI Scripte zwar ausgeführt, jedoch nicht als User webXX mit der GID ftponly sondern als user wwwrun, und das ist ja bekanntlich die APache Gruppe und stellt meines Wissens nach eine Sicherheitslücke dar (korrigiert mich wenn ich falsch liege).

Ich hab mir auch schon die Suexec hier aus der download Area gezogen, leider half das auch nicht, obwohl Confixx im Standard Pfad ist (/home/www) und auch sonst alles richtig sein sollte (Chmods usw.).

Auch sind alle Einträge (wie ich hier schon im Forum mehrfach lass) in der confixx_vhosts Datei richtig soweit ich das überblicken konnte und auch die httpd.conf sollte soweit stimmen (denk ich mal).

Hat jemand eine IDEE wie ich dem Apache beibringe die CGI's als WebXX auszuführen?
Hab jetzt die ganze letzte Nacht dran gesessen :(

[floschi]

Hat jemand eine IDEE wie ich dem Apache beibringe die CGI's als WebXX auszuführen?

Kannst du denn mit den Skripten auf Dateien anderer User zugreifen?

[flibbi]

Hast du ein Skript das ich das mal testen kann?

Hab mir bisher nur Standard CGi's gezogen, bei denen ein Calendar oder ein Whoami dargestellt wird.

[flibbi]

Hallo, anbei mal ein paar Auszüge aus der Suexec.log.
Ich komm einfach nicht weiter...

Code: Select all

[2003-01-18 07:22:05]: info: (target/actual) uid: (n4a1/n4a1) gid: (ftponly/ftponly) cmd: calendar.pl
[2003-01-18 07:22:05]: error: command not in docroot (/home/www/n4a1/html/cgi-bin/calendar.pl)
[2003-01-18 07:29:11]: info: (target/actual) uid: (n4a1/n4a1) gid: (ftponly/ftponly) cmd: calendar.pl
[2003-01-18 07:29:11]: error: command not in docroot (/home/www/n4a1/html/cgi-bin/calendar.pl)
[2003-01-18 07:33:06]: info: (target/actual) uid: (n4a1/n4a1) gid: (ftponly/ftponly) cmd: calendar.pl
[2003-01-18 07:33:06]: error: command not in docroot (/home/www/n4a1/html/cgi-bin/calendar.pl)
[2003-01-18 07:35:19]: alert: too few arguments
[2003-01-18 07:35:26]: alert: too few arguments
[2003-01-18 07:39:58]: info: (target/actual) uid: (n4a1/n4a1) gid: (ftponly/ftponly) cmd: calendar.pl
[2003-01-18 07:39:58]: error: command not in docroot (/home/www/n4a1/html/cgi-bin/calendar.pl)
[2003-01-18 07:41:19]: alert: too few arguments
[2003-01-18 07:42:02]: alert: too few arguments
[2003-01-18 07:42:06]: alert: too few arguments
[2003-01-18 07:42:08]: alert: too few arguments
[2003-01-18 07:42:10]: alert: too few arguments
[2003-01-18 07:42:12]: alert: too few arguments
[2003-01-18 07:43:02]: alert: too few arguments
[2003-01-18 07:43:25]: alert: too few arguments
[2003-01-18 07:43:29]: alert: too few arguments
[2003-01-18 07:45:17]: alert: too few arguments
[2003-01-18 07:46:02]: alert: too few arguments
[2003-01-18 07:46:21]: alert: too few arguments
[2003-01-18 07:47:17]: alert: too few arguments
[2003-01-18 07:47:54]: alert: too few arguments
[2003-01-18 07:47:56]: alert: too few arguments
[2003-01-18 07:48:24]: alert: too few arguments
[2003-01-18 09:19:20]: alert: too few arguments
[2003-01-18 09:29:29]: alert: too few arguments
[2003-01-18 09:37:00]: alert: too few arguments

Die letzten  Zeilen von /var/log/httpd/suexec.log    

weiß jemand RAT?

[sascha]

http://217.160.92.19/~rootforum/apache/suexec/
sollte helfen.

[flibbi]

Hallo,

hab ich kopiert, leider wird die suexec.log nun nicht weiter mitgeschrieben *grübel*.
Die Pfade der neuen suexec allerdings stimmen soweit..

Die CGi's werden ja auch alle ausgeführt, leider nur als wwwrun. Hab da ein kleiones Python Script, womit ich das anzeigen lassen kann.
Das gibt mir auf der Konsole halt aus, das ich es als root ausführe, per browser aber immer wwwrun.

Muss ich die neue Suexec irgendwie verlinken das wenigstens die suexec.log mitgeschrieben wird?

[sascha]

Hi,

das Logfile müsste sich unter /var/log/httpd/suexec.log befinden.

[flibbi]

Da ist es, es hat bis - wie oben gepostet - mitgeschrieben, jetzt aber nimmer. Meine Rechte für das file sind:

UID: root
GID: www

CHMOD: 644

Stimmt das soweit?

[sascha]

Stimmen die Rechte für suexec denn noch? "Erkennt" es der Apache beim Start (error_log checken)?

[flibbi]

Ha, danke Sascha!

Ein apchactl restart hat geholfen. Jetzt führt er die Skripte mit den richtigen Rechten aus, wunderbar.
Suexec.log läuft nun auch einwandfrei. 8)

Aber ein kleines Problem hab ich noch.

Ich hab das SSL Zertifikat nach Anleitung vom Forum erstellt.
Leider bringt ein apachectl startssl folgendes Fehler:

Code: Select all

Sun Jan 19 16:44:59 2003] [error] mod_ssl: Init: Unable to read server certificate from file /etc/httpd/ssl.crt/server.crt (OpenSSL library error follows)
[Sun Jan 19 16:44:59 2003] [error] OpenSSL: error:0D06B078:asn1 encoding routines:ASN1_get_object:header too long
[Sun Jan 19 16:45:21 2003] [warn] NameVirtualHost 217.XXX.XXX.XX:80 has no VirtualHosts

Wenn du mir da vielleicht noch nen Tip geben könntest, dann wär ich überglücklich :)
Zumindest eine apachectl start (also ohne SSL) klappt fehlerfrei.

[cobrabbs]

Hallo , habe auch das Problem das eineige CGI Sripte nicht mehr laufen , aber ich habe den Apache version 1.3.19 und nicht Apache 1.3.27