In Fortsetzung von suexec my php, baby^wapachehabe ich gestern suexec auf dem ersten Produktivsystem verfügbar gemacht, und einige Unzulänglichkeiten im Debian-Setup gefunden.
Die Umstellung des Zielsystems von apache auf apache2 ging erschreckend schmerzfrei vonstatten. Die einzige Falle dabei war, dass einige Dinge (z.B. der ScriptAlias auf /usr/lib/cgi-bin) bei apache in der Serverkonfiguration steht, bei apache2 aber (IMO sinnvollerweise) in den virtual host geschrieben werden muss. Es waren also minimale Änderungen an der kopierten virtual-host-Konfiguration notwendig.
So weit, so gut, für die cgi-bins der Benutzer.
Nun möchte ich allerdings, wenn ich schon suexec am Start habe, auch gerne die aus Debian-Packages kommenden cgi-Scripts suexecen. Und das ist ein Punkt, wo ich vorerst bei einem knackingen “geht nicht” angekommen bin.
- suexec suexect nur, was in /var/www liegt. Debian-Packages werfen ihre cgi-scrips aber nach /usr/lib/cgi-bin
- suexec kann für jeden Virtual Host nur auf einen User suexecen. Bei den Scripts aus Debian-Packages wäre es aber sinnvoll, unterschiedliche Scripte auf unterschiedliche User zu mappen.
Also wird man wohl in den sauren Apfel beissen und sich darauf verlassen müssen, dass das, was aus Debian-Packages kommt, hinreichend sicher ist, dass man es mit den Rechten des Webservers laufen lassen kann. Auch wenn das bedeutet, dass einige Logs für www-data writeable sein müssen, was ich persönlich so richtig ätzend finde.