apache, cgi e switching dell'utente

[adarkar]

da man suexec2:

SUMMARY
suexec is used by the Apache HTTP Server to switch to another user
before executing CGI programs.

codice:

[shi@pygo ~/public_html/cgi-bin] $ cat boh.cgi 
#!/bin/bash

echo 'Content-type:text/plain'
echo ''
id

codice:

[shi@pygo ~/public_html/cgi-bin] $ wget http://127.0.0.1/~shi/cgi-bin/boh.cgi -O test
[shi@pygo ~/public_html/cgi-bin] $ cat test
uid=81(apache) gid=81(apache) groups=81(apache)

devo dedurre che apache non switcha utente nell'eseguire i cgi
non ho trovato un'opzione per dirgli esplicitamente di fare lo switch, qualcuno ne sa qualcosa?

[l.golinelli]

Devi impostarlo nel httpd.conf

http://httpd.apache.org/docs-2.0/suexec.html

[adarkar]

non ho mica capito però come si attiva

Using suEXEC

Requests for CGI programs will call the suEXEC wrapper only if they are for a virtual host containing a SuexecUserGroup directive or if they are processed by mod_userdir.

da quel che dice qui sembra che lo faccia in automatico quando serve le dir degli utenti, quindi non dovrebbe esserci bisogno di alcuna direttiva.. non ne ho neanche trovate di direttive utili a questo in quelle pagine di doc

però le pagine degli utenti me le serve tranquillamente con uid apache

[l.golinelli]

Deve essere compilato con il supporto suexec...

[adarkar]

mi pareva che lo fosse già

ok dunque se lo devo ricompilare.. e non c'è una USE per questa cosa, come modifico l'ebuild?

gli ho dato un'occhiata ma ci ho capito poco poco

[l.golinelli]

httpd -V

[adarkar]

dunque apache E' compilato con il supporto per il suexec, ho controllato la configurazione dello stesso col manuale di apache davanti ed è tutto a posto
eppure questo:

codice:

[shi@pygo ~] $ cat public_html/cgi-bin/test.cgi 
#!/bin/bash

echo 'Content-type:text/plain'
echo ''
id

risulta in questo:

codice:

uid=81(apache) gid=81(apache) groups=81(apache)

_inoltre_

con questo

codice:

<Directory /home/*/public_html>
    AllowOverride FileInfo AuthConfig Limit
    Options MultiViews Indexes -ExecCGI SymLinksIfOwnerMatch IncludesNoExec
    [...]
</Directory>



<Directory /home/*/public_html/cgi-bin>
     Options -ExecCGI -Includes -Indexes
     SetHandler cgi-script
</Directory>

il cgi continua imperterrito a funzionare (ovviamente sempre coi permessi di apache)

che cavolo succede??

[l.golinelli]

Hai usato il mpm perchild?

[adarkar]

In addition, special features like serving different hosts under different userids (perchild) can be provided.

This module is not functional. Development of this module is not complete and is not currently active. Do not use perchild unless you are a programmer willing to help fix it.

la doc dice così

a quanto pare serve per diversi host (infatti più avanti parla ancora del suo uso nella sezione vistual hosts), e non per le directory degli utenti
inoltre sembra particolarmente sperimentale, e a me non sembra che il suexec e ancora di più l'opzione '-ExecCGI' c'entrino con questa cosa..

a questo punto vorrei solo togliere i permessi di esecuzione script, ma non funziona..

nella sezione del suexec non accenna minimamente a questo mpm e anche questo mi fa pensare che siano scollegati

[l.golinelli]

Qui lo dice:

In addition, special features like serving different hosts under different userids (perchild) can be provided.