Chi La Sa Questa Di Apache?

[solia12]

Salve ragazzi, vi volevo chiedere se è possibile abbassare la guardia del server web APACHE. Vi spiego meglio:
Io ho un pc Linux che, come server web, monta APACHE.
Quello che mi interessa è poter far eseguire degli SCRIPT ai CGI.
I CGI funcionano benissimo ma nel momento che provo a fare la system() per lanciare lo script in questione (che esegue comandi IPTABLES), apache non mi permette l'esecuzione...vi ringrazio e spero di ottenere buone risposte!!

[gianiaz]

il problema non credo proprio dipenda da apache.

Il punto è che apache non può eseguire comandi che siano di root.

Facendo configurazioni particolari puoi farli eseguire, ma non è consigliabile.
se proprio lo devi fare credo che dovrai prendere anche altre misure di sicurezza (ad esempio connessioni criptate e filtro sugli ip che possono fare queste operazioni).

E comunque se in qualche modo ti buttano giù il server web sei esposto a pericoli grossi.

[solia12]

Ok....grazie per il consiglio...ma il problema rimane. Mi sai dire o no come fare? Voglio eseguire gli IPTABLES da CGI!!!

[marco.sec]

apache si rifiuta di essere eseguito da root
l'unico modo è tramite suexec.... in alternativa metti un bel suid bit su iptables e vai in scioltezza.
ovviamente apri un buco grosso come una casa, un semplice
errore dello script e ti ritrovi col server piallato


buona fortuna.

[gigyz]

puoi usare sudo così sei più sicuro. Ma hai cercato in giro ? se non ricordo male esiste pure un howto :master:

[l.golinelli]

Su Apache 2.0 puoi provare il suexec con il mpm prechild

[solia12]

Vi ringrazio tutti...però forse non mi sono spiegato bene io.
Io devo lanciare un script che, supponiamo, contiene i seguenti comandi:

iptables -F
iptables -A FORWARD -i eth0 -j DROP

Questi comandi possono essere lanciati solo da root e, anche se impongo il bit di suid (con "chmod +s") allo script, il CGI non ha il permesso di eseguire tale script...

Per questo vi chiedo come posso sproteggere APACHE...

Se comunque qualcuno aveva inteso bene il mio problema, lo prego di riproporre la sua risposta in un modo un pò più specifico e comprensibile...Grazie a tutti.