GCS Amplitude
GCS Amplitude

suEXEC サポート

第 2 に、あなたが使用中のコンピュータの セキュリティに関する基本的な概念と、それらの管理について詳しいことを 想定しています。これは、setuid/setgid 操作、あなたのシステム上でのその操作による様々な効果、 セキュリティレベルについてあなたが理解しているということを含みます。

それでも進みますか? よろしい。では、先へ進みましょう!

suEXEC の設定とインストールを始める前に、 まず実装しようとしているセキュリティモデルについて論じておきます。 それには、suEXEC の内部で行なわれていること、 システムのセキュリティを保証するために警告されることを よく理解しておいた方がよいでしょう。

それから、wrapper は成功または失敗を決定するため 以下の処理を行ないます。これらの状態のうち一つでも失敗した場合、 プログラムは失敗をログに記録してエラーで終了します。 そうでなければ、後の処理が続けられます。

これは、wrapper を実行しているユーザが 本当にシステムの利用者であることを保証するためです。

wrapper は適切な数の引数が与えられた場合にのみ実行されます。 適切な引数のフォーマットは Apache Web サーバに解釈されます。 適切な数の引数を受け取らなければ、攻撃をされたか あなたの Apache バイナリの suEXEC の部分が どこかおかしい可能性があります。

このユーザは wrapper 実行を許可されたユーザですか? ただ一人のユーザ (Apache ユーザ) だけが、 このプログラムの実行を許可されます。

対象の CGI, SSI プログラムが '/' から始まる、または '..' による参照を行なっていますか? これらは許可されません。 対象のプログラムは suEXEC のドキュメントルート (下記の --with-suexec-docroot=

による CGI/SSI プログラムの実行を許可していません。 root

最小ユーザ ID 番号は設定時に指定されます。これは、 CGI/SSI プログラム実行を許可されるユーザ ID のとりうる最小値です。これは "system" 用のアカウントを閉め出すのに有効です。

今のところ、suEXEC は 'root' グループによる CGI/SSI プログラムの実行を許可していません。

最小グループ ID 番号は設定時に指定されます。これは、 CGI/SSI プログラム実行を許可されるグループ ID のとりうる最小値です。 これは "system" 用のグループを閉め出すのに有効です。

ここで、setuid と setgid の起動によりプログラムは対象となるユーザとグループになります。 グループアクセスリストは、 ユーザが属しているすべてのグループで初期化されます。

ディレクトリが存在しないなら、そのファイルも存在しないかもしれません。 ディレクトリに移動できないのであれば、おそらく存在もしないでしょう。

リクエストがサーバ内のものであれば、 要求されたディレクトリが suEXEC のドキュメントルート配下にありますか? リクエストが UserDir のものであれば、要求されたディレクトリが suEXEC のユーザのドキュメントルート配下にありますか? (suEXEC 設定オプション 参照)

所有者以外には CGI/SSI プログラムを変更する権限は与えられません。

suEXEC は、安全な環境変数のリスト (これらは設定時に作成されます) 内の変数として渡される安全な PATH 変数 (設定時に指定されます) を設定することで、 プロセスの環境変数をクリアします。

ここで suEXEC が終了し、対象となるプログラムが開始されます。

ここまでが suEXEC の wrapper におけるセキュリティモデルの標準的な動作です。もう少し厳重に CGI/SSI 設計についての新しい制限や規定を取り入れることもできますが、 suEXEC はセキュリティに注意して慎重に少しずつ開発されてきました。

このセキュリティモデルを用いて サーバ設定時にどのように許すことを制限するか、また、suEXEC を適切に設定するとどのようなセキュリティ上の危険を避けられるかに 関するより詳しい情報については、"とかげに注意" (Beware the Jabberwock) の章を参照してください。

オプションにあわせて少なくとも一つは --with-suexec-xxxxx

オプションが指定されなければなりません。--with-suexec-bin=PATH

バイナリのパスはサーバに ハードコードされている必要があります。デフォルトのパスを 変えたいときはこのオプションを使ってください。--with-suexec-bin=/usr/sbin/suexec

のように。--with-suexec-caller=UID

に "/htdocs" というサフィックスをつけたものです。 "--datadir=/home/apache

" として設定すると、 suEXEC wrapper にとって "/home/apache/htdocs" がドキュメントルートとして使われます。--with-suexec-uidmin=UID

--with-suexec-gidmin=GID

--with-suexec-logfile=FILE

) に置かれます。 --with-suexec-safepath=PATH

オプションで suEXEC 機能を有効にすると、 "make" コマンドを実行した時に suexec

のバイナリ (Apache 自体も) が自動的に作成されます。

すべての構成要素が作成されると、それらのインストールには make install

オプションで指定されたディレクトリにインストールされます。 デフォルトの場所は "/usr/local/apache/bin/suexec" です。

インストール時には root 権限が必要なので注意してください。wrapper がユーザ ID を設定するために、所有者

でのセットユーザ ID ビットをそのファイルのモードに設定しなければなりません。 安全なパーミッションを設定する

が "/usr/local/apache2/bin/suexec" にインストールされていた場合、次のように設定する必要があります。suexec

chgrp webgroup /usr/local/apache2/bin/suexec

これで Apache が実行されるグループのみが suEXEC ラッパーを実行できるということを 確証します。

起動時に、Apache は --sbindir

を探します (デフォルトは "/usr/local/apache/sbin/suexec") 。 適切に設定された suEXEC がみつかると、 エラーログに以下のメッセージが出力されます。

[notice] suEXEC mechanism enabled (wrapper:

サーバ起動時にこのメッセージが出ない場合、 大抵はサーバが想定した場所で wrapper プログラムが見つからなかったか、 setuid root としてインストールされていないかです。

suEXEC の仕組みを使用するのが初めてで、Apache が既に動作中であれば、 Apache を kill して、再起動しなければなりません。HUP シグナルや USR1 シグナルによる単純な再起動では不十分です。

ファイルを削除してから Apache を kill して再起動します。

CGI プログラムへのリクエストが suEXEC ラッパーを呼ぶのは、

ディレクティブを通したものがあります。 このディレクティブをメインサーバのユーザ ID と異なるものにすると、CGI リソースへのすべてのリクエストは、その SuexecUserGroup

で指定された User と Group として実行されます。

でこのディレクティブが指定されていない場合、 メインサーバのユーザ ID が想定されます。

オプションで指定されたファイルにログ情報を記録します。 wrapper を適切に設定、インストールできていると思う場合、 どこで迷っているか見ようとするならこのログとサーバの エラーログを見るとよいでしょう。

注意! この章は完全ではありません。この章の最新改訂版については、 Apache グループの オンラインドキュメント版を参照してください。

サーバの設定に制限をもうける wrapper について、 いくつか興味深い点があります。suEXEC に関する "バグ" を報告する前にこれらを確認してください。

これを変更するのは危険です。この指定に含まれる各パスが 信頼できる ディレクトリであることを確認してください。 世界からのアクセスにより、誰かがホスト上でトロイの木馬 を実行できるようにはしたくないでしょう。

繰り返しますが、何をやろうとしているか把握せずにこれをやると 大きな問題を引き起こしかねません。 可能な限り避けてください。

モジュール | ディレクティブ | FAQ | 用語 | サイトマップ

Apache HTTP サーバ バージョン 2.4

suEXEC サポート

翻訳済み言語: en | fr | ja | ko | tr

suEXEC 機能により、Apache ユーザは Web サーバを実行しているユーザ ID とは 異なるユーザ ID で CGI プログラムや SSI プログラムを実行することができます。CGI プログラムまたは SSI プログラムを実行する場合、通常は web サーバと同じユーザで実行されます。

適切に使用すると、この機能によりユーザが個別の CGI や SSI プログラムを開発し実行することで生じるセキュリティ上の危険を、 かなり減らすことができます。しかし、suEXEC の設定が不適切だと、 多くの問題が生じ、あなたのコンピュータに新しいセキュリティホールを 作ってしまう可能性があります。あなたが setuid root されたプログラムと、それらから生じるセキュリティ上の問題の管理に 詳しくないようなら、suEXEC の使用を検討しないように強く推奨します。