Re: Re: [sympa-fr] Re: Execution de wwsympa.fcgi (suite... et pas fin).

[adresse@cachée]

Olivier LACROIX a écrit:
>
> Votre cas est différent. Vous faites tourner wwsympa en SUID. Donc suexec
> n'est pas utilisé, puisque vous n'avez pas de serveur virtuel avec un
> utilisateur différent de celui de votre serveur apache.

Hummm... Ce truc m'intrigue pas mal... Il me semble (mais j'avoue que je n'ai 
jamais trop creusé la question, suivant la maxime "if it ain't broke, don't 
fix it!") que SuExec garde un certain contrôle sur la manière dont les jobs 
changent d'ID, quelle que soit la manière dont ils en changent (via un 
serveur virtuel tournant sous un profil différent, ou par des exécutables 
SUID). Mais je n'en suis pas _sûr_, et je dis peut-être une c...rie.
Quelque chose qui tendrait cependant à le démontrer, c'est que si Apache n'a 
pas "SuExec", il est impossible de faire tourner un CGI "SUID machin"...

J'ai également remarqué qu'un "double-SUID" ne marche pas, par exemple, si on 
a Apache qui tourne sous "X", avec un serveur virtuel qui tourne sous "Y", et 
qu'on lance un job "SUID Z", le résultat est pabô.
Même quand le serveur virtuel tourne sous "Y" et qu'il lance un job 
"SUID-ce-même-Y", ça fait des choses bizarres et pas recommandables...

Quoi qu'il en soit, la méthode de faire tourner le serveur normalement comme 
"apache" et de faire tourner wwsympa.fcgi sous "sympa" en le SUIDant tout 
simplement a chez moi l'avantage de la simplicité et de l'efficacité dans 
toutes les situations où je l'ai testé.

Peut-être est-elle une solution intéressante pour tous les utilisateurs 
emmernuyés par un Apache qui refuse de faire tourner lui-même un CGI sous un 
UID < 100...

Cordialement.

adresse@cachée