abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 05:11 | Komunita

    Během tradiční ceremonie k oslavě Dne vzniku samostatného československého státu (28. října) byl vyznamenán medailí Za zásluhy (o stát v oblasti hospodářské) vývojář 3D tiskáren Josef Průša. Letos byly uděleny pouze dvě medaile Za zásluhy o stát v oblasti hospodářské, druhou dostal informatik a manažer Ondřej Felix, který se zabývá digitalizací státní správy.

    Gréta | Komentářů: 0
    dnes 04:44 | Nová verze

    Tor Browser, tj. fork webového prohlížeče Mozilla Firefox s integrovaným klientem sítě Tor přednastavený tak, aby přes tuto síť bezpečně komunikoval, byl vydán ve verzi 15.0. Postaven je na Firefoxu ESR 140.

    Ladislav Hagara | Komentářů: 0
    včera 16:44 | Nová verze

    Bylo oznámeno (cs) vydání Fedora Linuxu 43. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách Fedora Magazinu: Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Silverblue a Fedora Atomic Desktops.

    Ladislav Hagara | Komentářů: 0
    včera 15:22 | IT novinky

    Elon Musk oznámil (𝕏) spuštění internetové encyklopedie Grokipedia (Wikipedia). Zatím ve verzi 0.1. Verze 1.0 prý bude 10x lepší, ale i ve verzi 0.1 je podle Elona Muska již lepší než Wikipedia.

    Ladislav Hagara | Komentářů: 10
    včera 05:44 | Komunita

    PSF (Python Software Foundation) po mnoha měsících práce získala grant ve výši 1,5 milionu dolarů od americké vládní NSF (National Science Foundation) v rámci programu "Bezpečnost, ochrana a soukromí open source ekosystémů" na zvýšení bezpečnosti Pythonu a PyPI. PSF ale nesouhlasí s předloženou podmínkou grantu, že během trvání finanční podpory nebude žádným způsobem podporovat diverzitu, rovnost a inkluzi (DEI). PSF má diverzitu přímo ve svém poslání (Mission) a proto grant odmítla.

    Ladislav Hagara | Komentářů: 22
    včera 04:55 | Nová verze

    Balík nástrojů Rust Coreutils / uutils coreutils, tj. nástrojů z GNU Coreutils napsaných v programovacím jazyce Rust, byl vydán ve verzi 0.3.0. Z 634 testů kompatibility Rust Coreutils s GNU Coreutils bylo úspěšných 532, tj. 83,91 %. V Ubuntu 25.10 se již používá Rust Coreutils místo GNU Coreutils, což může přinášet problémy, viz například nefunkční automatická aktualizace.

    Ladislav Hagara | Komentářů: 0
    27.10. 21:00 | IT novinky

    Od 3. listopadu 2025 budou muset nová rozšíření Firefoxu specifikovat, zda shromažďují nebo sdílejí osobní údaje. Po všech rozšířeních to bude vyžadováno někdy v první polovině roku 2026. Tyto informace se zobrazí uživateli, když začne instalovat rozšíření, spolu s veškerými oprávněními, která rozšíření požaduje.

    Ladislav Hagara | Komentářů: 0
    27.10. 17:11 | Humor

    Jste nuceni pracovat s Linuxem? Chybí vám pohodlí, které vám poskytoval Microsoft, když vás špehoval a sledoval všechno, co děláte? Nebojte se. Recall for Linux vám vrátí všechny skvělé funkce Windows Recall, které vám chyběly.

    Ladislav Hagara | Komentářů: 1
    27.10. 16:11 | Komunita

    Společnost Fre(i)e Software oznámila, že má budget na práci na Debianu pro tablety s cílem jeho vyžívání pro vzdělávací účely. Jako uživatelské prostředí bude použito Lomiri.

    Ladislav Hagara | Komentářů: 1
    26.10. 17:11 | IT novinky

    Proběhla hackerská soutěž Pwn2Own Ireland 2025. Celkově bylo vyplaceno 1 024 750 dolarů za 73 unikátních zranitelností nultého dne (0-day). Vítězný Summoning Team si odnesl 187 500 dolarů. Shrnutí po jednotlivých dnech na blogu Zero Day Initiative (1. den, 2. den a 3. den) a na YouTube.

    Ladislav Hagara | Komentářů: 5
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (47%)
     (20%)
     (19%)
     (23%)
     (17%)
     (21%)
     (17%)
     (18%)
    Celkem 279 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník

    není suexec jako mod_suexec

    12.11.2008 12:28 | Přečteno: 2074× | i mistr tesař | Výběrový blog | poslední úprava: 12.11.2008 12:38

    dneska ve škole jsme měli za úkol (mj.) nakonfigurovat Apachí modul userdir a spustit v uživatelských adresářích pár CGI skriptů. Jenže co čert nechtěl, cvičící trochu překombinovali požadavky a hned se začaly dít věci...

    Nevinná písmenka

    Zadání vypadalo přibližně takhle:

    Vytvořte uživatele, zapněte mod_userdir, nastavte "public_html" adresář na "~/web", udělejte tam nějaký index, vytvořte tam podadresář "bin" a v něm cgi skript "whoami.cgi", který - pozorný čtenář si domyslí ;-) -.

    Jednoduché, že? Ne tak docela. Když se místo výstupu ze skriptu začaly objevovat oblíbené Internal Server Errory, logy se začaly plnit na první pohled nesmsyslným:

    [Wed Nov 12 10:05:11 2008] [error] [client 127.0.0.1] suexec policy violation: see suexec log for more details
    [Wed Nov 12 10:05:11 2008] [error] [client 127.0.0.1] Premature end of script headers: whoami.cgi
    

    a

    [2008-11-12 10:05:11]: uid: (1003/franta) gid: (100/users) cmd: whoami.cgi
    [2008-11-12 10:05:11]: cannot get docroot information (/home/franta)
    

    nejjednodušší řešení

    První, co mě napadlo, bylo vypnout suexec. Odstraňuji z konfiguráků zmínky o suexecu, konzultuji s cvičícím, ten tvrdí, že suexec je vypnutý: žádná zmínka o aktivaci v logu, žádná zmínka v /server-info.

    Nesmyslné?

    Smysl by to dávalo, kdyby byl suexec zapnutý. Ale on přece není (ano, server jsem restartoval, v logu jsou furt tytéž řádky)!

    Dobře, problém nevypnutelného suexecu nechávám prozatím koňovi (ne nejsem na MFF, už :-) ) a řeším problém s "cannot get docroot..". Mezitím cvičící volá svého kolegu.

    Než se kolega dostavil, trošku jsem poškádlil google a asi na třetí pokus zjistil, že suexec je ochotný na sebe bonznout intimnosti s přepínačem "-V".

    y36aws sbin # ./suexec -V
     -D AP_DOC_ROOT="/var/www"
     -D AP_GID_MIN=100
     -D AP_HTTPD_USER="apache"
     -D AP_LOG_EXEC="/var/log/apache2/suexec_log"
     -D AP_SAFE_PATH="/usr/local/bin:/usr/bin:/bin"
     -D AP_SUEXEC_UMASK=077
     -D AP_UID_MIN=1000
     -D AP_USERDIR_SUFFIX="www"
    

    Právě dorazil druhý kolega oba koukáme na poslední řádek :-). No jo, stane se, kolega slíbil, že nechá upravit zadání tak, že místo "web" tam bude "www" (což udělal třetí kolega v zápětí). Fajn, ale co s tím nevypnutým suexecem?

    suexec a mod_suexec

    Já i cvičící jsme žili v pohádkovém světě, kde suexec a mod_suexec jsou jedno a totéž. Jaké bylo mé překvapení, když jsem z dokumentace Apache 1.3, následně pak Apache 2.0 a po dlouhém a úmorném hledání i v dokumentaci Apache 2.2 zjistil, že "suEXEC se použije tehdy, najde-li Apache při spouštění odpovídající binárku (a je při kompilaci nastaven tak, aby ji použil)" - tedy žádné konfiguráky se nekonají! Ale vždyť v konfigurácích to bylo!..?

    Cvičně hledám mod_suexec. Ha, rozdíl! mod_suexec už konfiguraci potřebuje (minimálně je třeba ho zapnout). Podle dokumentace jsem nakonec zjistil, že mod_suexec pouze rozšiřuje funkcionalitu suEXECu a to tok, že se mu dá vnutit pod jakým user/group má daný skript spustit.

    Pravda, i cvičící z toho byli překvapeni. Těžko říct, jestli mile, či nemile. Ale vyslech jsem si pár nehezkých připomínek k dokumentaci Apache :-)

    Definitivní řešení a poslední záhada

    [Wed Nov 12 09:14:50 2008] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
    

    Tento řádek z logů zmizel po odstranění všech zmínek o suexecu, resp. mod_suexecu z konfiguráků, dávajíc běžnému uživateli tušení, že suEXEC mechanizmus je skutečně vypnutý. Poslední zatím nevyřešenou záhadou tedy zůstává, proč tato hláška zmizela a suEXEC žije dál...

    Samotné vypnutí suEXECu se, dle dokumentace, provádí na úrovni souborového systému a to příkazem rm, případně chmod (méně zdatní nechť použijí raději příkaz mv).

    Poučení

    co z toho plyne? Není suEXEC jako mod_suexec. Dávejte si na to pozor a nevěřte logům. Cesta k adresářům s webovým obsahem se musí suEXECu (resp. Apachi) říct už při kompilaci a následně se nedá změnit. Apache bude používat suEXEC, ikdyž se Vám to nebude líbít a jediná možnost, jako ho "přesvědčit", je hrubá síla.

    Jen škoda, že jsme to řešili skoro celou hodinu já se nedostal k ostatním úkolům...

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    12.11.2008 21:12 rtfm
    Rozbalit Rozbalit vše Re: není suexec jako mod_suexec
    rtfm?
    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.