Accéder au contenu.
Menu Sympa

fr - Re: UID & Fast CGI

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Re: UID & Fast CGI

Chronologique Discussions  
    < Chronologique >       < Discussions >
  • From: Olivier LACROIX <adresse@cachée>
  • To: Jean-Luc OMS <adresse@cachée>
  • Cc: adresse@cachée
  • Subject: Re: UID & Fast CGI
  • Date: Wed, 20 Dec 2000 09:25:09 +0100

Dans son message, Jean-Luc OMS ecrivait :
----------------------------------------------
*>
*> Bonsoir,
*>
*> Dans la doc, il est precise que le demon http doit tourner sous le
*> meme UID/GID que sympa.pl et archive.pl.
*> Est ce incontournable (cela peut etre genant si le serveur http n'est
*> pas dedie, ou si on installe sympa_arc sous htdocs comme indique par
*> defaut) ?
*>

Bonjour.

wwsympa doit obligatoirement tourner sous le même UID que sympa pour pouvoir
accéder à tous les fichiers et surtout pour pouvoir écrire dans
l'arborescence
de sympa (lorsqu'on modifie un fichier de conf d'une liste par exemple).

Maintenant, il existe plusieurs façons de le faire :
1) wwsympa est maintenant installé (depuis la 3.0b4) avec les bits suid et
sgid positionnés. Si cela fonctionne avec votre machine (ie le système
accepte
que vous ayez des scripts avec le bit s), quel que soit l'UID du serveur,
wwsympa passera sous l'UID et le GID de sympa
2) vous créez un serveur virtuel et vous y changez l'UID et le GID du serveur
pour ce serveur virtuel. Avec apache, ça marche très bien si vous l'avez
compilé avec suexec
3) si vous ne voulez pas utiliser le changement d'utilisateur dans votre
démon
http et que les scripts avec bits s ne sont pas acceptés par votre système
(c'est mon cas par exemple), vous écrivez un petit programme en C pour y
lancer wwsympa. Vous mettez sympa propriétaire de ce programme et vous y
positionnez les bits s
A titre d'exemple, voici le petit programme C que j'utilise :

#include <unistd.h>

#define WWSYMPA "/home/sympa/bin/wwsympa.fcgi"

int main(int argn, char **argv, char **envp) {
execve(WWSYMPA,argv,envp);
}


Autre sujet : sympa_arc.
Les archives n'ont pas besoin d'être sous htdocs, sauf si votre serveur http
tourne en faisant un chroot (dixit la doc). Dans l'exemple de config, les
archives sous mises sous /var/sympa/arc. J'ai aussi tendance à dire qu'il ne
faut pas que les archives soit sous htdocs, simplement parce que sinon, il
est
certainement possible d'y accéder sans passer pas wwsympa et que, dans ce
cas,
n'importe qui peut lire n'importe quelle archive, même s'il n'en a pas le
droit avec wwsympa.




--

Olivier LACROIX

C.I.R.I.L.
Cellule Réseau StanNet
Chateau du Montet | Tel : +33 3.83.44.74.29
Rue du Doyen Roubault | Fax : +33 3.83.44.02.62
F - 54500 VANDOEUVRE | email : adresse@cachée

--

Olivier LACROIX

C.I.R.I.L.
Cellule Réseau StanNet
Chateau du Montet | Tel : +33 3.83.44.74.29
Rue du Doyen Roubault | Fax : +33 3.83.44.02.62
F - 54500 VANDOEUVRE | email : adresse@cachée



  • UID & Fast CGI, Jean-Luc OMS, 19/12/2000
    • <Suite(s) possible(s)>
    • Re: UID & Fast CGI, Olivier LACROIX, 20/12/2000

Archives gérées par MHonArc 2.6.19+.

Haut de le page