User Tools

Site Tools


doc:appunti:linux:sa:apache_suexec

Apache suEXEC

Il meccanismo suEXEC consente di eseguire uno script CGI o FastCGI con i privilegi di un utente specifico invece che con i privilegi dell'utente che esegue Apache.

Installato il pacchetto Debian apache2-suexec.

Il gruppo/utente con cui eseguire lo script deve essere tra quelli consentiti, ad esempio www-data non è consentito.

L'eseguibile (cgi-bin, fcgi, …) deve appartenere al gruppo/utente dichiarato in SuexecUserGroup, così come la directory che lo contiene.

L'eseguibile (cgi-bin, fcgi, …) deve stare dentro la document root del server (non del VirtualHost), quindi ad esmpio la direttiva ScriptAlias /cgi-bin/ non può puntare a /usr/lib/cgi-bin/. In Debian (pacchetto apache2-suexec-custom) la document root di suexec viene definita in /etc/apache2/suexec/www-data, il valore predefinito è /var/www/ verificare che la DocumentRoot del VirtualHost sia contenuta in essa.

Se si vuole usare un eseguibile di sistema si può realizzare un wrapper, non va bene invece un link simbolico.

doc/appunti/linux/sa/apache_suexec.txt · Last modified: 2014/01/13 18:25 by niccolo