[global-announce] WARTUNG: suexec wird eingeführt (sichere CGI-Skripte)

Michael Hönnig global@hostsharing.net
Wed, 4 Jul 2001 06:49:23 +0200

Previous message: [global-announce] Monitoring diverser Webhoster von IG4
Next message: [global-announce] neue Website online
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Liebe Mitglieder,

am nächsten Wochenende schalten wir in den Server für MUA und SUA Pakete
suexec scharf. Das bedeutet, dass man auch per CGI nicht mehr in fremde
Verzeichnisse gucken kann.

suexec prüft u.a., ob
- das auszuführende Skript dem Owner des VirtualHost entspricht, 
	das ist bei uns der Domain-Admin,
- sich das auszuführende Skript innerhalb des zulässigen Directory-Baums
	befindet und
- die Rechte nicht weiter sind als 755 (rwxr-xr-x).

Dann wird der User, unter dem die Ausführung läuft, auf den Owner des
VirtualHost, also bei uns auf den Domain-Admin, gesetzt und das Skript so
ausgeführt. 

Sorgt bitte dafür, dass eure Skripte dem jeweiligen Domain-Owner gehören
und nicht mehr als die o.g. Rechte haben, also auf keinen Fall
Schreibrechte für Group und Others. Schickt mir ggf. eine Liste mit
Owner-Änderungen in der Form:

	xyz00-otto ~xyz00-otto/doms/domain1.tld/cgi/*.pl
	xyz00-paul ~xyz00-paul/doms/domain2.tld/cgi/*.cgi
	...

ACHTUNG: ggf. müssen daraufhin auch Datendateien im Owner umgestellt
werden, da das Skript diese sonst nicht mehr lesen kann!

Am Sonntag-Morgen (8. Juli) schalte ich das suexec von ca. 7:00h für ca. 1
Stunde  scharf, dann wieder bis Montag-Morgen (9. Juli) aus. Am Montag
morgen gegen 6:30h schalte ich es dann endgültig scharf. Ihr könnt mit
http://www.hostsharing.org/cgi-bin/test.cgi testen, ob suexec
scharfgeschaltet ist, da dessen Owner absichtlich nicht dem Domain-Owner
entspricht. So hat jeder die Chance, seine Skripte zu testen.

Wer nicht so früh aufstehen will, schickt mir einfach eine Liste der von
mir zu prüfenden URLs:

	http://www.domain1.tld/cgi-bin/script1.pl
	http://www.domain1.tld/cgi-bin/script2.pl
	http://www.domain2.tld/cgi-bin/script3.cgi

Ich nehme diese dann temporär in den lokalen Server-Watch auf, so dass wir
ggr. ein Fehlerprotokoll haben. Wenn sich das Skript so nicht testen
lässt, sondern ein ausgefülltes Formular braucht, dann kann ich das leider
nicht machen. Allerdings ist ja oft ein Test auf Error 500 (internal
server error) versus einer expliziten Felermeldung vom Skript (z.B. "data
missing") schon ausreichend.

Rückfragen bitte auf support@. Danke.

Alles Gute
	Michael

-- 
Hostsharing eG i.Gr / c/o M. Hönnig / Boytinstr. 10 / D-22143 Hamburg
phone:+49/40/67581419 / mobile:+49/177/3787491 / fax:++49/40/67581426
http://www.hostsharing.net ---> Webhosting Spielregeln selbst gemacht

Previous message: [global-announce] Monitoring diverser Webhoster von IG4
Next message: [global-announce] neue Website online
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]