> Hi Martin,
>
> dazu habe ich ein Frage: Muss der Apache dann nicht auch als Root
> gestartet
> werden ? Er schaltet dann zwar die einzelnen Prozesse auf nobody (je
> nach
> Config), aber der Master Daemon l�uft immer noch als Root... Wenn der
> Master
> Prozess schon als nobody gestartet wird, dann d�rfte suexec eigentlich
> nicht
> gehen.
>
> Christian
Ausnahmsweise mal Vollquote. Majordomo hat diese Mail weggeschmissen, weil
da irgendwo das Wort "config" stand. Witzig, witzig.
Du hast Recht: Apache startet �blicherweise die Mutter aller Prozesse als
root und forkt dann die eigentlichen Server unter dem User, der in
httpd.conf eingetragen ist. So ist es auf allen Kisten, die ich jetzt mal
eben im Zugriff habe, um nachzuschauen, incl. dem PUG-Server, den ganzen
BSD-Kisten und meiner "distributionslosen" Apache-Installation zuhause.
Damit w�re es ja kein Problem, einen Proze� f�r den gerade ben�tigten User
zu forken, oder? Oder ist das viel zu hei�? -> Angreifer bringt das Script
des Users zum Abkacken und/oder gibt in einem Eingabefeld irgendwas an, was
nicht vom (fehlerhaften) Script abgestrippt, sondern von der Shell
ausgef�hrt wird. -> Evtl. ist es zumindest m�glich, als dieser User
beliebige Prozesse zu starten...
Nachdem ich den Abschnitt �ber SuEXEC im O'Reilly-Buch �ber Apache etwas
�berflogen habe, bin ich reichlich verwirrt. Da ist zuerst mal seitenweise
vom Editieren irgendwelcher Makefiles die Rede, und dann von irgendwelchen
D�monen, die der User starten mu�?!?
http://www.apache.org/docs/misc/FAQ.html#user-cgi und
http://www.apache.org/docs/misc/FAQ.html#CGIoutsideScriptAlias erkl�ren im
Gegensatz dazu alles so einfach, wie Patrick es sich auch vorgestellt hat,
ohne auf irgendwelche Risiken einzugehen. Leide ich jetzt unter Paranoia,
oder bin irgendwie v�llig fehlgeleitet oder so? :-/
Ich glaube, ich hole jetzt erstmal Br�tchen,
-martin
--
The three Rs of Microsoft support: Retry, Reboot, Reinstall.
---------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
