nicht angemeldet
Userkontext für CGI wechseln?
Hi, mal dumm gefragt
Muß einen Serveradmin überzeugen meine eigenen CGIs zuzulassen.
Welche Strategien erlauben es für Ihn maximale Sicherheit zu gewährleisten und seine Paranoia zu dämpfen?
Kann man z.B. meine CGIs mit meinen Berechtigungen laufen lassen sodass server und apache vor Ausfällen geschützt sind?
wir reden von richtigen Servern (Linux)
vielleicht mittels su-bit user wechseln?
Oder wie macht man's im allgemeinen?
Gruß
rolf
-
Hi,
Such am besten mal nach SuExec, dass dürfte dir weiterhelfen...
Grüße,
Andres FreundPS
-
Hi
Such am besten mal nach SuExec, dass dürfte dir weiterhelfen...
danke guter Tip!
http://httpd.apache.org/docs/suexec.html
allerdings "If you aren't familiar with managing setuid root programs and the security issues they present, we highly recommend that you not consider using suEXEC."
wird mich noch überzeugungsarbeit kosten. :(
Cheers
rolf
-
-
Hallo LanX!,
Oder wie macht man's im allgemeinen?
»Im allgemeinen« wird das schlicht ignoriert (leider). Ansonsten benutzt man, wie anarazel
schon sagte, suexec, die Handhabung ist allerdings etwas schwierig. Eine weitere
Alternative ist http://cgiwrap.sourceforge.net/, der bietet ein paar mehr Features.Grüße,
CK-
Hi CK!
schon sagte, suexec, die Handhabung ist allerdings etwas schwierig.
grummel... ich habs ewig nicht mehr gebraucht, aber gabs nicht ein s-bit das ein executable im Kontext des Owners laufen ließ?
was spricht dagegen?
Eine weitere Alternative ist http://cgiwrap.sourceforge.net/, der bietet ein paar mehr Features.
ja aber überzeug mal ne Clique von quasibeamten etwas zu installieren...
Dank & Gruß
rolfPS: vielleicht ein neues "Feature Minus Minus" ;-)
ich kann nicht als LanX posten obwohl ich im My bin!-
Hallo LanX,
schon sagte, suexec, die Handhabung ist allerdings etwas schwierig.
grummel... ich habs ewig nicht mehr gebraucht, aber gabs nicht ein s-bit das ein
executable im Kontext des Owners laufen ließ?Jo, gibt es (chmod u+s).
was spricht dagegen?
Es wird nicht gehen :) Dazu braeuchte die Interpreter-Executable auch ein Suid-Bit.
PS: vielleicht ein neues "Feature Minus Minus" ;-)
ich kann nicht als LanX posten obwohl ich im My bin!Mail.... mit Usernamen bitte.
Grüße,
CK-
Hi
Es wird nicht gehen :) Dazu braeuchte die Interpreter-Executable auch ein Suid-Bit.
stimmt der perlinterpreter ... ja ich erinnere mich mal extra dafür einen wrapper in C geschrieben zu haben der script + perl aufgerufen hat und das environement dafür durchreichte.
Es dankt für die Erinnerungshilfe :)
Prof. Dr. Rolf Alzheimer
-
-
-