Oops, je me rends compte à l'instant que je me suis complètement trompé
de groupe lors du post. Toutes mes excuses.
Cross post et suivi (d'où l'intégralité reprise) sur fciws.

Le Tue, 03 Jan 2006 02:10:17 -0400, Christophe PEREZ a écrit:

> Bonsoir,
>
> apache-2.0.54-r31
>
> J'ai un petit problème.
> Dans un vhost créé par un package (AMP) sous gentoo, j'ai :
> SuExecUserGroup asterisk asterisk
> ScriptAlias /cgi-bin/ /var/www/amp.novazur.fr/cgi-bin/
> <Directory "/var/www/amp.novazur.fr/cgi-bin/">
> AllowOverride none
> Options ExecCGI
> Order allow,deny
> Allow from all
> </Directory>
>
> Or, lorsque je tente d'exécuter /cgi-bin/vmail.cgi
> J'ai l'erreur :
> [2006-01-03 02:03:21]: cannot run as forbidden uid (94/vmail.cgi)
>
> Je ne parviens pas à voir ce qui coince.
> Bien sûr, si je commente le SuExecUserGroup, ça fonctionne.
>
> # getent passwd | grep 94
> asterisk:x:94:94:added by portage for asterisk:/var/lib/asterisk:/bin/bash
>
> # ls -l /var/www/amp.novazur.fr/cgi-bin/vmail.cgi
> -rwxrwxr-x 1 asterisk asterisk 26421 jan 3 01:17 /var/www/amp.novazur.fr/cgi-bin/vmail.cgi
>
> J'avoue être très peu habitué à ce SuExec. Pourtant, il me faudrait
> bien apache qui tourne sous un tel user:group pour ce vhost, mais
> évidemment pas pour le reste.
>
> Si quelqu'un veut bien m'apporter un petit éclairage, j'espère avoir
> donné tous les éléments nécessaires et suffisants.
> Merci d'avance.

--
Christophe PEREZ
Écrivez moi sans _faute !

Le Thu, 05 Jan 2006 12:26:31 -0400, Christophe PEREZ a écrit :
>> Dans un vhost créé par un package (AMP) sous gentoo, j'ai :
>> SuExecUserGroup asterisk asterisk
>> ScriptAlias /cgi-bin/ /var/www/amp.novazur.fr/cgi-bin/
>> <Directory "/var/www/amp.novazur.fr/cgi-bin/">
>> AllowOverride none
>> Options ExecCGI
>> Order allow,deny
>> Allow from all
>> </Directory>
>>
>> Or, lorsque je tente d'exécuter /cgi-bin/vmail.cgi
>> J'ai l'erreur :
>> [2006-01-03 02:03:21]: cannot run as forbidden uid (94/vmail.cgi)

Quand on compile suexec on spécifie les uid/gid minimaux et maximaux. Et
je crois que c'est 100 par défaut le minimum, donc refus pour 94.

Dans http://httpd.apache.org/docs/2.0/suexec.html cf
--with-suexec-uidmin=UID
Define this as the lowest UID allowed to be a target user for suEXEC. For most systems, 500 or 100 is common. Default value is 100.
--with-suexec-gidmin=GID
Define this as the lowest GID allowed to be a target group for suEXEC.
For most systems, 100 is common and therefore used as default value.

Il semble qu'une recompilation s'impose....


--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>

Le Thu, 05 Jan 2006 23:10:29 +0100, Patrick Mevzek a écrit:

> Quand on compile suexec on spécifie les uid/gid minimaux et maximaux. Et
> je crois que c'est 100 par défaut le minimum, donc refus pour 94.

Ah ben mince, j'avais 105 initialement. J'ai fait ces recherches, j'ai
trouvé des choses parlant de ce minimum, que j'ai donc comprises à
l'envers. J'ai alors changé mon user, et tous ses fichiers de 105 à 94
pour être au dessous des 100.

Recompiler, je voudrais bien, mais j'aime encore autant changer l'id user.
Comment vérifier à combien le mini est compilé ?
Parce que si je le repasse à 105, et que comme par hasard, sous Gentoo,
il est compilé à 106 ;-)

--
Christophe PEREZ
Écrivez moi sans _faute !

Le Fri, 06 Jan 2006 12:16:29 -0400, Christophe PEREZ a écrit :
>> Quand on compile suexec on spécifie les uid/gid minimaux et maximaux. Et
>> je crois que c'est 100 par défaut le minimum, donc refus pour 94.
>
> Ah ben mince, j'avais 105 initialement. J'ai fait ces recherches, j'ai
> trouvé des choses parlant de ce minimum, que j'ai donc comprises à
> l'envers.

L'idée générale est d'éviter que le mécanisme permette d'acquérir
les droits root (uid=0 en général) ou les comptes systèmes (uid
«petit») puisqu'on utilise souvent la fonctionnalité pour avoir les
scripts s'exécutant avec le droit du webmaster ou équivalent (ids
normaux, donc souvent à partir de 1000 voire 10000)

> Recompiler, je voudrais bien, mais j'aime encore autant changer l'id user.
> Comment vérifier à combien le mini est compilé ?

Sans avoir les sources qui ont servi à la compilation ?
Sans même la documentation/aide de la personne qui a compilé ?
Y a peut-être un switch à l'exécution qui permet de retrouver ces
informations.
Sinon je doute qu'un strings sur l'exécutable soit exploitable.
A part ca, si ce n'est tester avec tous les uid/gid un par un, je ne vois
pas, désolé.

--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>

Le Fri, 06 Jan 2006 17:25:01 +0100, Patrick Mevzek a écrit:

> L'idée générale est d'éviter que le mécanisme permette d'acquérir
> les droits root (uid=0 en général) ou les comptes systèmes (uid
> «petit») puisqu'on utilise souvent la fonctionnalité pour avoir les
> scripts s'exécutant avec le droit du webmaster ou équivalent (ids
> normaux, donc souvent à partir de 1000 voire 10000)

Ok, comme tu avais dit 100 par défaut en général (et c'est bien ce que
j'ai lu ailleurs), et comme Gentoo laisse souvent les standards...

> Sans avoir les sources qui ont servi à la compilation ?
> Sans même la documentation/aide de la personne qui a compilé ?

Ben, c'est gentoo qui compile, par le biais de ses ebuilds.
Je vais voir de ce côté.

> Y a peut-être un switch à l'exécution qui permet de retrouver ces
> informations.

C'est ce que je voulais dire.

> Sinon je doute qu'un strings sur l'exécutable soit exploitable.
> A part ca, si ce n'est tester avec tous les uid/gid un par un, je ne vois
> pas, désolé.

Bon...

Merci en tout cas.

--
Christophe PEREZ
Écrivez moi sans _faute !

Le Fri, 06 Jan 2006 15:22:03 -0400, Christophe PEREZ a écrit:

> Ok, comme tu avais dit 100 par défaut en général (et c'est bien ce que
> j'ai lu ailleurs), et comme Gentoo laisse souvent les standards...

Il me semble que j'aurais du aller voir directement les forums gentoo, je
n'y pense pas encore suffisamment :
http://forums.gentoo.org/viewtopic-t...usergroup.html

Et effectivement, j'ai :
# suexec2 -V
-D AP_DOC_ROOT="/var/www"
-D AP_GID_MIN=100
-D AP_HTTPD_USER="apache"
-D AP_LOG_EXEC="/var/log/apache2/suexec_log"
-D AP_SAFE_PATH="/usr/local/bin:/usr/bin:/bin"
-D AP_SUEXEC_UMASK=077
-D AP_UID_MIN=1000
-D AP_USERDIR_SUFFIX="public_html"

Donc manifestement, j'ai des choses à configurer de ce côté moi.
Je n'ai jamais utilisé suexecusergroup avant, et je pensais que tout
était intégré à apache.

--
Christophe PEREZ
Écrivez moi sans _faute !

Le Fri, 06 Jan 2006 15:25:09 -0400, Christophe PEREZ a écrit:

> Donc manifestement, j'ai des choses à configurer de ce côté moi.

En fait, pas vraiment.
J'ai changé l'uid/guid en 1001.
Remis les bons droits sur le rép et le cgi, décommenté mon
suExecUserGroup, et ça semble fonctionner. A tester plus avant car en le
faisant tourner en user apache jusque là, je dois avoir un sacré
méli-mélo dans les droits de tout le reste.

En tout cas, merci Patrick de m'avoir confirmé la voie de recherche, et
m'avoir permis de comprendre l'inverse de ce que j'avais compris
initialement ;-)

--
Christophe PEREZ
Écrivez moi sans _faute !