RootForum Community

Ich bekomme meine CGIs nicht zum Laufen und weiß so langsam leider nicht mehr weiter. Berechtigungen etc. müßte alles passen.

SUEXEC sagt:

[2003-12-11 17:16:26]: info: (target/actual) uid: (web1/web1) gid: (apache/apache) cmd: gaestebuch.cgi
[2003-12-11 17:16:26]: crit: cannot run as forbidden gid (48/gaestebuch.cgi)

Der Fehler steht doch da, die Gruppe ist falsch (apache) sollte wohl ftponly sein (bei Confixxsystemen). Wenn die Gruppe so geplant ist, musst du suexec neukompilieren.

Ja, habe Confixx. Wie muß ich die Gruppe dann ändern? Habe leider noch keine große Erfahrung mit Linux/Redhat. Wäre schön, wenn Du's mir näher erklären könntest. Vielen Dank!

Folgende Gruppen habe ich:

root::0:root
bin::1:root,bin,daemon
daemon::2:root,bin,daemon
sys::3:root,bin,adm
adm::4:root,adm,daemon
tty::5:
disk::6:root
lp::7:daemon,lp
mem::8:
kmem::9:
wheel::10:root
mail::12:
news::13:news
uucp::14:uucp
man::15:
games::20:
gopher::30:
dip::40:
ftp::50:
lock::54:
nobody::99:
users:
rpm37:
utmp22:
apache48:
mailnull47:
popa3d84:
floppy19:
vcsa69:
slocate21:
named25:
rpc32:
pcap77:
mysql27:
majordomo91:mail
poponly101:

suexec -V sagt

-D DOC_ROOT="/var/www"
-D GID_MID=100
-D HTTPD_USER="apache"
-D LOG_EXEC="/var/log/httpd/suexec_log"
-D SAFE_PATH="/usr/local/bin:/usr/bin:/bin"
-D UID_MID=100
-D USERDIR_SUFFIX="public_html"

UID und GID von Apache sind aber 48. Daher läuft es nicht!? Also müßte ich das jetzt in suexec auf 47 runtersetzen oder die UID und GID von Apache auf 101 erhöhen!? Oder wie jetzt. Kann sich da bitte jemand zu äußern? :?

Warum muß das denn als Gruppe Apache laufen? Kann das nicht als Gruppe Users oder Poponly laufen? Dann gibt es keine Probleme.

Wenn es wirklich als apache laufen muss, solltest Du SUEXEC anpassen. Das heißt, den Apache neu kompilieren. Ist nicht trivial, zumal SUEXEC sicherheitsrelevant ist.

Grüße

Pollux

Mir persönlich ist das egal, mit welcher Gruppe es läuft. Es soll sicherheitstechnisch in Ordnung sein und funktionieren. Kannst Du mir eine Step by Step Lösung liefern?

Step by step? Na mal sehen ob ich das hinbekomme. Eigentlich ist sowas ja nicht die feine Art, aber egal. Du solltest aber auf jeden Fall verstehen, was Du tust und nicht einfach nachmachen, was ich (oder wer auch immer) Dir sagt.
Ich kenne mich mit Confixx nicht aus, wir machen auf unserem Server alles selber. Normalerweise sind die Kundenpräsenzen unter der Gruppe USERS verschlüsselt. Warum das bei Dir anders ist, weiß ich nicht. Es kann aber durchaus seine Gründe haben. Damit will ich sagen, wenn Du die Gruppe auf USERS geändert hast, können ggf. andere Sachen nicht mehr laufen. PHP z.B., weil das als Gruppe Apache läuft. Aber das wirst Du ja sehen :)
Also los gehts (ist eigentlich nur ein Befehl):
Du gehst in das Verzeichnis wo die Präsenz liegt. Dort machst Du (als root) folgenden Befehl, um rekursiv alle Dateien der Gruppe USERS zu geben: Beachte das Leerzeichen zwischen * und .*! Damit gehören alle Dateien (auch versteckte) der Gruppe USERS und suexec meckert nicht mehr rum.

Ich möchte aber nochmal darauf hinweisen, daß Du Dir über die Konsequenzen selber klar sein mußt, die diese Umschlüsselung für Dein System hat.

Viele Grüße

Pollux

Nur nutzt man für die Ã?nderung der Gruppe normalerweise chgrp . ;)

@CaptainCrunch

Gibt es da einen Unterschied? Außer natürlich, daß ich mit chown auch noch den User ändern kann?
Sonst sehe ich keinen Sinn darin, zwei Tools für die gleiche Sache zu haben. Aber vielleicht gibt es ja doch einen?

Grüße

Pollux

Du sparst dir den unnötigen Doppelpunkt, denn wir wissen hoffentlich alle, dass Admins stinfaul sind. ;)

Mal ernsthaft: du hast es dem "Komfort" der GNU-Tools zu verdanken, dass das klappt. Versuchst du das gleiche auf einem älteren "echten" Unix, schlägt das ganze komplett fehl. ;)

Ok, das mit dem Doppelpunkt ist ein Punkt für Dich. Pardon: natürlich zwei Punkte. Also 2 zu 0 :-D

Ich vermutete schon so etwas wie "Abwärtskompatibiltät" als Grund für die Existenz zweier Tools. Denn nicht nur Admins sind faul, Programmierer auch 8)

Grüße und frohe Weihnachten

Pollux