URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 7583
[ Назад ]

Исходное сообщение
"Как защитить конфиг файлы  /cgi-bin/php.fcgi ?"

Отправлено Crespo , 26-Июл-12 12:09 
Добрый день, имеется небольшой shared хостинг на Apache 2.2 + PHP5 (mod_fcgi). Настроены виртуальные хосты и suexec. На каждом виртуальном хосте есть конфиг файл запуска php.fcgi. Проблема в том, что suexec начинает ругаться (target uid/gid mismatch with directory), если выставить владельцем php.fcgi другого пользователя (даже с правами 755), скажем root. Т.е. иными словами, пользователь виртуального хоста должен(?!) иметь все права на файл php.fcgi. Подскажите, как это лечится эта дырка?

Содержание

Сообщения в этом обсуждении
"Как защитить конфиг файлы  /cgi-bin/php.fcgi ?"
Отправлено кегна , 26-Июл-12 12:51 
> Добрый день, имеется небольшой shared хостинг на Apache 2.2 + PHP5 (mod_fcgi).
> Настроены виртуальные хосты и suexec. На каждом виртуальном хосте есть конфиг
> файл запуска php.fcgi. Проблема в том, что suexec начинает ругаться (target
> uid/gid mismatch with directory), если выставить владельцем php.fcgi другого пользователя
> (даже с правами 755), скажем root. Т.е. иными словами, пользователь виртуального
> хоста должен(?!) иметь все права на файл php.fcgi. Подскажите, как это
> лечится эта дырка?

$ cat /usr/local/etc/apache22/xxx.ru
<VirtualHost *:80>
    ServerName xxx.ru
    SuexecUserGroup xxx.ru  xxx.ru
    Alias   /php-fcgi/ /www/xxx.ru/cgi-bin/
    ScriptAlias /cgi-bin/ /www/www.ru/cgi-bin/
    DocumentRoot /www/xxx.ru/www/
    LogLevel    emerg
    CustomLog       /www/xxx.ru/logs/httpd-access.log       combined
    ErrorLog        /www/xxx.ru/logs/httpd-error.log


    <Directory "/www/xxx.ru/www">
        Options  FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>

$ ls -la /www/xxx.ru/cgi-bin/
-r-xr-xr-x  1 xxx.ru  xxx.ru  143 php.sh*

$ ls -la /www/xxx.ru/
drwxr-xr-x    2 xxx.ru    xxx.ru     512 cgi-bin/
drwxr-xr-x    2 xxx.ru    xxx.ru     512 logs/
drwxr-xr-x   16 xxx.ru    xxx.ru    1024 www/

т.е. пользователи chroot-ятся в /www/xxx.ru/www
и файл php.sh им не виден )


"Как защитить конфиг файлы  /cgi-bin/php.fcgi ?"
Отправлено Crespo , 29-Июл-12 13:14 
Идею понял, спасибо.