Online lesen (PDF) - Lingoworld IT-Bücher
Online lesen (PDF) - Lingoworld IT-Bücher
Online lesen (PDF) - Lingoworld IT-Bücher
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
808<br />
Gebrauch machen: mod_whatkilledus und mod_backtrace. Beide dienen<br />
dazu, die Umstände des Absturzes aufzuklären. Näheres über den Exception-<br />
Hook und diese Module erfahren Sie auf den Seiten von Jeff Trawick unter<br />
http://www.apache.org/~trawick/exception_hook.html.<br />
18.2.3 SuEXEC<br />
Mithilfe von SuEXEC haben Sie die Möglichkeit, CGI-Skripte und Server Side<br />
Includes unter einer anderen User- und Group-ID auszuführen als Apache<br />
selbst. Einem Angreifer, dem der Einbruch über ein schlecht abgesichertes<br />
Skript gelingt, wird auf diese Weise der Zugriff auf den eigentlichen Webserver<br />
erschwert. Apache ruft zu diesem Zweck das Hilfsprogramm suexec auf, das im<br />
Wesentlichen ein setuid- und setgid-Wrapper für eigene Skripte ist.<br />
Damit suexec benutzt werden kann, muss Apache 2 zunächst einmal mit den<br />
passenden Einstellungen kompiliert worden sein. Diese configure-Optionen<br />
wurden bereits in Kapitel 4, Apache kompilieren und installieren, erwähnt. Hier<br />
sehen Sie sie noch einmal in etwas ausführlicherer Beschreibung:<br />
--enable-suexec[=shared]<br />
Damit wird das Modul mod_suexec grundsätzlich aktiviert; die Variante mit<br />
shared müssen Sie natürlich eingeben, um es als DSO-Modul zu kompilieren.<br />
--with-suexec-bin=/Pfad/von/suexec<br />
Aus Sicherheitsgründen muss der Pfad des Programms suexec fest einkompiliert<br />
werden. Die Voreinstellung variiert je nach Installationslayout.<br />
--with-suexec-caller=UID<br />
Dies ist die User-ID des Benutzers, der suexec aufrufen soll. Es handelt sich<br />
um die UID, unter der auch Apache selbst ausgeführt wird.<br />
--with-suexec-userdir=Verzeichnis<br />
Mit dieser Option wird der Name des Verzeichnisses unterhalb der Home-<br />
Verzeichnisse von Benutzern angegeben, in dem suexec-CGI-Skripte verwendet<br />
werden können. Der Standardwert ist public_html.<br />
--with-suexec-docroot=Verzeichnis<br />
Hier wird die DocumentRoot von Apache angegeben. Diese bildet das allgemeine<br />
Verzeichnis, in dem suexec-Skripte gestattet sind.<br />
--with-suexec-uidmin=UID<br />
Dies ist der niedrigste numerische Wert für die User-ID, unter der suexec-<br />
CGIs ausgeführt werden dürfen. Der Standardwert ist 100, was meist in Ordnung<br />
ist.<br />
Sicherheit