Re: [sympa-fr] Re: Execution de wwsympa.fcgi (suite... et pas fin).

[Olivier LACROIX <adresse@cachée>]

Dans son message, adresse@cachée ecrivait :
----------------------------------------------

*> Olivier LACROIX a écrit:
*> >
*> > Votre cas est différent. Vous faites tourner wwsympa en SUID. Donc suexec
*> > n'est pas utilisé, puisque vous n'avez pas de serveur virtuel avec un
*> > utilisateur différent de celui de votre serveur apache.
*> 
*> Hummm... Ce truc m'intrigue pas mal... Il me semble (mais j'avoue que je 
n'a
*> i jamais trop creusé la question, suivant la maxime "if it ain't broke, 
don't
*>  fix it!") que SuExec garde un certain contrôle sur la manière dont les 
jobs c
*> hangent d'ID, quelle que soit la manière dont ils en changent (via un 
serveur
*>  virtuel tournant sous un profil différent, ou par des exécutables SUID). 
Mais
*>  je n'en suis pas _sûr_, et je dis peut-être une c...rie.
*> Quelque chose qui tendrait cependant à le démontrer, c'est que si Apache 
n'a p
*> as "SuExec", il est impossible de faire tourner un CGI "SUID machin"...
*> 

Non, SUExec n'est utilisé que lorsqu'on demande à Apache de changer 
l'utilisateur. Si c'est un programme avec un SUID, SUexec n'intervient pas. 
Par contre il se peut que le système refuse de lancer un script avec un SUID. 
C'est le cas pour chez moi et c'est pourquoi j'ai un programme C en SUID qui 
lance le programme perl (cf la doc paragraphe 5.2.1)

-- 
 Olivier LACROIX

 C.I.R.I.L.
 Cellule Réseau StanNet
 Chateau du Montet      |  Tel   : +33 3.83.44.74.29
 Rue du Doyen Roubault  |  Fax   : +33 3.83.44.02.62
 F - 54500 VANDOEUVRE   |  email : adresse@cachée