Остальные параметры предназначены для настройки suEXEC. Для обеспечения suEXEC-функциональности при выполнении сценариев пользователя Apache использует программу-оболочку SUID. Перед тем как разрешить выполнение программы эта оболочка выполняет ряд проверок. Одним из проверяемых эле- ментов является UID вызывающего процесса. Если он не соответствует учетной записи, указанной в ключе —suexec-caller, то выполнение пользовательского сценария прерывается.

Поскольку suEXEC-оболочка вызывается web-сервером, этот параметр должен иметь то же значение, что и —server-uid. Кроме того, поскольку наиболее привилегированные учетные записи и группы системы обычно имеют UID и GID меньше определенного значения, то suEXEC-оболочка проверит: не меньше ли этого порога UID или GID вызывающего процесса. Для того чтобы это работало, необходимо указать соответствующее значение системы. В данном примере Apache и mod_ssl компонуются на системе Red Hat, в которой UID и GID обычных пользователей и групп начинаются со значения 500. В дополнение к этим проверкам suEXEC выполняет множество других проверок: доступен ли сценарий для записи только его владельцу, не является ли владелец root-пользователем, не является ли сценарий SUID или SGID.

На заметку: Если Вас интересуют бетонные полы с упрочненным слоем (топпингом), тогда рекомендуем посетить интернет-сайт http://www.tfsystems.ru.

По завершении настройки сценария укажите каталог, который содержит исходный код Apache, и запустите команды make и make install. Можно запустить make certificates, если хотите сгенерировать SSL-сертификат для проверки установки. Для генерации запроса на подпись сертификата с помощью коммерческого СА либо собственного СА можно запустить make certificate TYPE=custom.

Если вы стремитесь к обеспечению компромисса безопасность/производительность при использовании suEXEC, а необходимость запуска Perl-сценария по-прежнему сохраняется, то это можно реализовать с помощью стандартного CGI-интерфейса. С помощью этого интерфейса, помимо Perl, можно запускать и PHP-программы, но для этого необходимо создать библиотеку php и указать ее в качестве интерпретатора во всех PHP-сценариях, которые должны выполняться с помощью suEXEC. Сценарии можно запускать и с помощью модуля mod_perl или mod_php, поместив их вне каталогов, в которых будет работать suEXEC.

источник: Локхарт Э. Антихакинг в сети. Трюки.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *