* [sisyphus] Q: apache and posix acl
@ 2004-08-12 9:31 Vladimir Lettiev
2004-08-12 9:45 ` Sergey Vlasov
0 siblings, 1 reply; 5+ messages in thread
From: Vladimir Lettiev @ 2004-08-12 9:31 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
Столкнулся со странной проблемой.
Есть скрипт, написанный на перле (cgi-приложение), есть веб-сервер
apache (1.3.31rusPL30.20-alt8).
Вот права с точки зрения ls:
# ls -l lenta.pl
-rwxrwx--- 1 rogov rogov 6090 Май 12 2003 lenta.pl
Вот права с точки зрения системы (XFS + ACL):
# getfacl lenta.pl
# file: lenta.pl
# owner: rogov
# group: rogov
user::rwx
user:apache:r-x
group::rwx
group:webmaster:rwx
mask::rwx
other::---
Т.е. добавляем права на чтение и выполнение непосредственно пользователю
apache.
Тем не менее, запуск скрипта не проходит. В логах апача запись:
file permissions deny server execution: ...../lenta.pl
Добавляем флаг выполнения для всех( # chmod o+x lenta.pl ) и всё
начинает работать.
Пробовал давать группе apache права на rx -- не помогло. До тех пор пока
не появиться флаг исполнения для всех, apache отказывается запускать
файл на исполнение.
Если взглянуть на обычный html-документ:
# getfacl index.shtml
# file: index.shtml
# owner: rogov
# group: rogov
user::rw-
user:apache:r-x #effective:r--
group::r-x #effective:r--
group:webmaster:rwx #effective:rw-
mask::rw-
other::---
то apache его открывает свободно.
Создаётся впечатление, что в коде апача присутствует проверка на
возможность исполнения файла, но реализована она как-то не нормально.
Какие есть мнения?
--
С уважением, Владимир Леттиев aka crux <crux@syktsu.ru>
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] Q: apache and posix acl
2004-08-12 9:31 [sisyphus] Q: apache and posix acl Vladimir Lettiev
@ 2004-08-12 9:45 ` Sergey Vlasov
2004-08-12 11:07 ` Vladimir Lettiev
0 siblings, 1 reply; 5+ messages in thread
From: Sergey Vlasov @ 2004-08-12 9:45 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
[-- Attachment #1: Type: text/plain, Size: 605 bytes --]
On Thu, Aug 12, 2004 at 01:31:15PM +0400, Vladimir Lettiev wrote:
[]
> Пробовал давать группе apache права на rx -- не помогло. До тех пор пока
> не появиться флаг исполнения для всех, apache отказывается запускать
> файл на исполнение.
[]
> Создаётся впечатление, что в коде апача присутствует проверка на
> возможность исполнения файла, но реализована она как-то не нормально.
Так и есть - ap_can_exec() проверяет права доступа самостоятельно.
http://archive.apache.org/gnats/5033
Более того, даже дополнительные группы могут не работать:
http://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=5310
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] Q: apache and posix acl
2004-08-12 9:45 ` Sergey Vlasov
@ 2004-08-12 11:07 ` Vladimir Lettiev
2004-08-12 12:05 ` [sisyphus] " Michael Shigorin
0 siblings, 1 reply; 5+ messages in thread
From: Vladimir Lettiev @ 2004-08-12 11:07 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
Sergey Vlasov wrote:
>>Создаётся впечатление, что в коде апача присутствует проверка на
>>возможность исполнения файла, но реализована она как-то не нормально.
>
> Так и есть - ap_can_exec() проверяет права доступа самостоятельно.
>
> http://archive.apache.org/gnats/5033
По этой ссылке даже патч предложен.
Будет ли он и использован в следующей сборке apache (это наверно 2Mike)
или есть какие-то непреодолимые причины оставить всё как есть.
p.s. у себя попробую пересобрать apache с этим fix'ом.
--
С уважением, Владимир Леттиев aka crux <crux@syktsu.ru>
^ permalink raw reply [flat|nested] 5+ messages in thread
* [sisyphus] Re: Q: apache and posix acl
2004-08-12 11:07 ` Vladimir Lettiev
@ 2004-08-12 12:05 ` Michael Shigorin
2004-08-12 12:49 ` Vladimir Lettiev
0 siblings, 1 reply; 5+ messages in thread
From: Michael Shigorin @ 2004-08-12 12:05 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
On Thu, Aug 12, 2004 at 03:07:54PM +0400, Vladimir Lettiev wrote:
> >http://archive.apache.org/gnats/5033
> По этой ссылке даже патч предложен. Будет ли он и использован
> в следующей сборке apache (это наверно 2Mike) или есть какие-то
> непреодолимые причины оставить всё как есть.
> p.s. у себя попробую пересобрать apache с этим fix'ом.
Можно результаты со ссылкой в глюкозавра? Спасибо.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] Re: Q: apache and posix acl
2004-08-12 12:05 ` [sisyphus] " Michael Shigorin
@ 2004-08-12 12:49 ` Vladimir Lettiev
0 siblings, 0 replies; 5+ messages in thread
From: Vladimir Lettiev @ 2004-08-12 12:49 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
Michael Shigorin wrote:
> On Thu, Aug 12, 2004 at 03:07:54PM +0400, Vladimir Lettiev wrote:
>
>>>http://archive.apache.org/gnats/5033
>>
>>По этой ссылке даже патч предложен. Будет ли он и использован
>>в следующей сборке apache (это наверно 2Mike) или есть какие-то
>>непреодолимые причины оставить всё как есть.
>>p.s. у себя попробую пересобрать apache с этим fix'ом.
>
> Можно результаты со ссылкой в глюкозавра? Спасибо.
>
Результат положительный - всё заработало как мне надо было.
Но, afair, такой специфический тип проверки является фичей секьюрного
уклона. Возможно надо переделать патч так, чтобы проверка через вызов
access() проводилась только если апаче собирается со специальной
директивой, например,
#ifdef ACL_CHECK
bla-bla
#endif
И вставить такой код не в mod_cgi.c , а в main/util.c. Вобщем сделать по
аналогии с директивой MULTIPLE_GROUP. Такая задачка мне не кажется
тривиальной, сделать, наверно, не смогу.
p.s. Дубль этого сообщения отправлю в багозиллу чуть по позжа, вдруг ещё
что-нибудь в голову придёт.
--
С уважением, Владимир Леттиев aka crux <crux@syktsu.ru>
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2004-08-12 12:49 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-08-12 9:31 [sisyphus] Q: apache and posix acl Vladimir Lettiev
2004-08-12 9:45 ` Sergey Vlasov
2004-08-12 11:07 ` Vladimir Lettiev
2004-08-12 12:05 ` [sisyphus] " Michael Shigorin
2004-08-12 12:49 ` Vladimir Lettiev
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git