GCS Amplitude
GCS Amplitude

SuEXEC Desteği

SuEXEC özelliği, Apache HTTP Sunucusu kullanıcılarına CGI ve SSI programlarını sunucunun aidiyetinde çalıştığı kullanıcıdan farklı bir kullanıcının aidiyetinde çalıştırma olanağı verir. Normalde, CGI ve SSI programlarını çalıştıranla sunucuyu çalıştıran aynı kullanıcıdır.

Gerektiği gibi kullanıldığında bu özellik, kullanıcılara CGI ve SSI programlarını çalıştırma ve geliştirmeye izin vermekle ortaya çıkan güvenlik risklerini azaltır. Bununla birlikte, suEXEC gerektiği gibi yapılandırılmadığı takdirde bazı sorunlara yol açabilir ve bilgisayar güvenliğinizde yeni delikler ortaya çıkmasına sebep olabilir. Güvenlikle ilgili mevcut sorunlarla başa çıkmada ve setuid root programları yönetmekte bilgi ve deneyim sahibi değilseniz suEXEC kullanmayı kesinlikle düşünmemenizi öneririz.

Belgeye balıklama dalmadan önce, suexec'i kullanacağınız ortam ve kendiniz hakkında yapılmış çeşitli kabuller hakkında bilgi sahibi olmalısınız.

Öncelikle, üzerinde setuid va setgid işlemlerinin yapılabildiği Unix türevi bir işletim sistemi kullandığınızı varsayıyoruz. Tüm komut örnekleri buna dayanarak verilmiştir. Bu desteğe sahip başka platformlar varsa onlardaki yapılandırma burada anlattığımız yapılandırmadan farklı olabilir.

İkinci olarak, bilgisayarınızın güvenliği ve yönetimi ile ilgili bazı temel kavramları bildiğinizi kabul ediyoruz. Buna setuid/setgid işlemlerinin sisteminiz ve güvenlik seviyesi üzerindeki etkilerini bilmek dahildir.

Üçüncü olarak, suEXEC kodunun değiştirilmemiş bir sürümünü kullandığınızı varsayıyoruz. Tüm suEXEC kodu, geliştiricilerin yanında sayısız beta kullanıcısı tarafından dikkatle incelenmiş ve denenmiştir. Kodların hem basit hem de sağlam bir şekilde güvenli olması için gerekli tüm önlemler alınmıştır. Bu kodun değiştirilmesi beklenmedik sorunlara ve yeni güvenlik risklerine yol açabilir. Özellikle güvenlikle ilgili programlarda deneyimli değilseniz suEXEC kodunda kesinlikle bir değişiklik yapmamalısınız. Değişiklik yaparsanız kodlarınızı gözden geçirmek ve tartışmak üzere Apache HTTP Sunucusu geliştirme ekibi ile paylaşmanızı öneririz.

Dördüncü ve son olarak, Apache HTTP Sunucusu geliştirme ekibinin suEXEC’i öntanımlı httpd kurulumunun bir parçası yapmama kararından bahsetmek gerekir. Bunun sonucu olarak, suEXEC yapılandırması sistem yöneticisinin ayrıntılı bir incelemesini gerektirir. Gerekli incelemeden sonra yönetici tarafından suEXEC yapılandırma seçeneklerine karar verilip, normal yollardan sisteme kurulumu yapılır. Bu seçeneklerin belirlenmesi, suEXEC işlevselliğinin kullanımı sırasında sistem güvenliğini gerektiği gibi sağlamak için yönetici tarafından dikkatle saptanmayı gerektirir. Bu sürecin ayrıntılarının yöneticiye bırakılma sebebi, suEXEC kurulumunu, suEXEC’i dikkatle kullanacak yeterliliğe sahip olanlarla sınırlama beklentimizdir.

Hala bizimle misiniz? Evet mi? Pekala, o halde devam!

suEXEC işlevselliği, Apache HTTP Sunucusu tarafından gerektiği takdirde artalanda çalıştırılan bir setuid programa dayanır. Bu program, bir CGI veya SSI betiğine bir HTTP isteği yapıldığı zaman, bu betiği, yöneticinin ana sunucunun aidiyetinde çalıştığı kullanıcıdan farklı olarak seçtiği bir kullanıcının aidiyetinde çalıştırmak için çağrılır. Böyle bir istek geldiğinde, Apache httpd artalandaki setuid programına, HTTP isteği yapılan programın ismiyle beraber aidiyetinde çalışacağı kullanıcı ve grup kimliklerini de aktarır.

Artalanda çalıştırılan setuid program başarıyı ve başarısızlığı aşağıdaki süreci izleyerek saptar. Bunlardan herhangi biri başarısız olursa program başarısızlık durumunu günlüğe kaydeder ve bir hata vererek çıkar. Aksi takdirde çalışmaya devam eder.

Bu, setuid programı çalıştıran kullanıcının sistemin gerçek bir kullanıcısı olduğunudan emin olunmasını sağlar.

Apache HTTP Sunucusunun artalanda çağırdığı setuid program ancak yeterli sayıda argüman sağlandığı takdirde çalışacaktır. Argümanların sayısını ve sırasını Apache HTTP sunucusu bilir. Eğer setuid program yeterli sayıda argümanla çağrılmamışsa ya kendisinde bir değişiklik yapılmıştır ya da kurulu Apache httpd çalıştırılabilirinin suEXEC ile ilgili kısmında yanlış giden bir şeyler vardır.

Sadece tek bir kullanıcı (Apache’nin aidiyetinde çalıştığı kullanıcı) bu programı çalıştırmaya yetkilidir.

Hedef CGI veya SSI programının dosya yolu '/' veya '..' ile başlıyor mu? Buna izin verilmez. Hedef CGI veya SSI programı suEXEC’in belge kök dizininde yer almalıdır (aşağıda --with-suexec-docroot=

seçeneğine bakınız).DİZİN

değil, değil mi?Mevcut durumda, root

kullanıcısının CGI/SSI programlarını çalıştırmasına izin verilmemektedir.

Asgari kullanıcı numarası yapılandırma sırasında belirtilir. Böylece CGI/SSI programlarını çalıştırmasına izin verilecek olası en düşük kullanıcı numarasını belirlemeniz mümkün kılınmıştır. Bu bazı “sistem” hesaplarını devreden çıkarmak için yararlıdır.

Bu noktadan itibaren program setuid ve setgid çağrıları üzerinden hedef kullanıcı ve grubun aidiyetine geçer. Erişim grubu listesi de ayrıca kullanıcının üyesi olduğu tüm gruplara genişletilir.

Dizin mevcut değilse dosyaları da içeremez. Hedef dizine geçemiyorsak bu, dizin mevcut olmadığından olabilir.

İstek sunucunun normal bir bölümü için yapılmış olsa da istenen dizin acaba suEXEC’in belge kök dizini altında mı? Yani, istenen dizin, suEXEC’in aidiyetinde çalıştığı kullanıcının ev dizini altında bulunan,

ile belirtilen dizinin altında mı? (UserDirsuEXEC’in yapılandırma seçeneklerine bakınız).

Başkaları da yazabilsin diye bir dizin açmıyoruz; dizin içeriğini sadece sahibi değiştirebilmelidir.

Hedef CGI/SSI programının dosyasına sahibinden başka kimsenin bir şeyler yazmasını istemeyiz.

UID/GID‘i tekrar değiştirecek programlar çalıştırmayı istemeyiz.

suEXEC, sürecin çalışacağı ortama güvenli bir program çalıştırma yolu sağlamaktan başka, yapılandırma sırasında oluşturulan güvenli ortam değişkenleri listesinde isimleri bulunan ortam değişkenlerinden başkasını aktarmayacaktır.

Burası suEXEC’in bitip CGI/SSI programının başladığı yerdir.

Bu süreç suEXEC güvenlik modelinin standart işlemlerini oluşturur. Biraz zorlayıcı ve CGI/SSI tasarımına yeni kurallar ve sınırlamalar getiriyor olsa da düşünülen güvenliği adım adım sağlayacak şekilde tasarlanmıştır.

Düzgün bir suEXEC yapılandırmasının hangi güvenlik risklerinden kurtulmayı sağladığı ve bu güvenlik modelinin sunucu yapılandırmasıyla ilgili sorumluluklarınızı nasıl sınırlayabildiği hakkında daha ayrıntılı bilgi edinmek için bu belgenin "Uyarılar ve Örnekler" bölümüne bakınız.

seçeneğinin yanında en azından bir tane de --with-suexec-xxxxx

seçeneği belirtilmiş olmalıdır.--with-suexec-bin=YOL

çalıştırılabilirinin bulunduğu yer sunucu koduna yazılır. Bu seçenekle öntanımlı yol değiştirilmiş olur. Örnek:--with-suexec-bin=/usr/sbin/suexec

--with-suexec-caller=KULLANICI

Kullanıcıların ev dizinleri altında suEXEC’in erişmesine izin verilen alt dizinin yerini tanımlar. Bu dizin altında suEXEC kullanıcısı tarafından çalıştırılacak tüm programlar "güvenilir" olmalıdır. Eğer “basit” bir

yönergesi kullanıyorsanız ( içinde “*” bulunmayan), bunun aynı dizin olması gerekir. Eğer burada belirtilen dizin, UserDirpasswd

yönergesinde belirtilen dizin olmadığı takdirde suEXEC işini gerektiği gibi yapmayacaktır. Öntanımlı değer UserDirpublic_html

Eğer, sanal konaklarınızın herbiri farklı

yönergeleri içeriyorsa burada belirtilecek dizinin üst dizininin hepsinde aynı olması gerekir. UserDirAksi takdirde, "~

" istekleri düzgün çalışmayacaktır.--with-suexec-docroot=DİZİN

’lardan başka) suEXEC için kullanılacak tek hiyerarşi olacaktır. Öntanımlı dizin sonuna "/htdocs

dizinidir. Yani, seçeneği "--datadir=/home/apache

seçeneği ile belirtilen) günlük dosyaları dizinidir.--with-suexec-safepath=YOL

ortam değişkeninin değerini tanımlar. "/usr/local/bin:/usr/bin:/bin

" öntanımlıdır.SuEXEC özelliğini --enable-suexec

seçeneği ile etkinleştirdiyseniz make

komutunu verdiğinizde httpd ile birlikte suexec

çalıştırılabilir dosyası da derlenecektir.

Tüm bileşenler derlendikten sonra make install

seçeneği ile tanımlanan dizine kurulacaktır; öntanımlı yeri /usr/local/apache2/bin/

Kurulum adımında root yetkisine sahip olmanız gerektiğini unutmayın. Çalıştırıcıya kullanıcı kimliğinin atanabilmesi ve dosyanın sahibi olan kullanıcı kimliği ile çalıştırılabilmesini mümkün kılan bitinin etkin kılınabilmesi için kurulumun

tarafından yapılması önemlidir.SuEXEC çalıştırıcısı kendini çalıştıran kullanıcının

seçeneği ile belirtilen kullanıcı olup olmadığına bakacaksa da, bu sınamanın da bir sistem veya kütüphane çağrısı ile istismar edilmiş olma ihtimali gözardı edilmemelidir. Bunun meydana gelmesini önlemek için ve genelde yapıldığı gibi dosyanın izinlerini suEXEC çalıştırıcısı sadece httpd'nin aidiyetinde çalıştığı grup tarafından çalıştırılacak şekilde ayarlayınız.

Örneğin, sunucunuz şöyle yapılandırılmışsa:

User www Group webgroup

dizinine kurulmuşsa şu komutları vermelisiniz:

Böylece suEXEC çalıştırıcısını httpd’yi çalıştıran grubun üyelerinden başkasının çalıştıramayacağından emin olabilirsiniz.

[notice] suEXEC mechanism enabled (wrapper:

Sunucu başlatıldığında bu ileti yazılmazsa sunucu ya çalıştırıcı programı umduğu yerde bulamamıştır ya da dosyanın setuid biti root tarafından etkin kılınmamıştır.

SuEXEC mekanizmasını etkin kılmak istediğiniz sunucu çalışmaktaysa sunucuyu önce öldürmeli sonra yeniden başlatmalısınız. Basit bir HUP

sinyali ile yeniden başlamasını sağlamak yeterli olmayacaktır.

dosyasını sildikten sonra httpd'yi öldürüp yeniden başlamalısınız.suexec

yönergesini kullanmaktır. Bu yönergede ana sunucuyu çalıştıran kullanıcıdan farklı bir kullanıcı belirterek ilgili sanal konak üzerinden CGI kaynakları için yapılan tüm isteklerin belirtilen SuexecUserGroupkullanıcı ve grup tarafından çalıştırılması sağlanır. Bu yönergeyi içermeyen sanal konaklar için ana sunucunun kullanıcısı öntanımlıdır.

tarafından işleme sokulan tüm istekler için suEXEC çalıştırıcısı istek yapılan kullanıcı dizininin sahibinin aidiyetinde çalıştırılacaktır. Bu özelliğin çalışması için tek gereklilik, kullanıcının SuEXEC çalıştırıcısı için etkin kılınmış olması ve çalıştırıcının yukarıdaki mod_userdirgüvenlik sınamalarından geçebilmesidir. Ayrıca, --with-suexec-userdir

derleme seçeneğinin açıklamasına da bakınız.

SuEXEC çalıştırıcısı yukarıda değinildiği gibi günlük bilgilerini --with-suexec-logfile

seçeneği ile belirtilen dosyaya yazacaktır. Çalıştırıcıyı doğru yapılandırarak kurduğunuzdan emin olmak istiyorsanız, yolunda gitmeyen şeyler var mı diye bu günlük dosyasına bakmayı ihmal etmeyin.

SuEXEC çalıştırıcısından dolayı sunucu ayarlarına bazı sınırlamalar getiren bir kaç önemli nokta mevcuttur. SuEXEC ile ilgili hata bildiriminde bulunmadan önce bunlara bir göz atmalısınız.

Güvenlik ve verimlilik adına, tüm suEXEC isteklerinin sanal konaklar için üst düzey belge kökünün altındaki dosyalarla, kullanıcı dizinleri için ise üst düzey bireysel belge köklerinin altındaki dosyalarla sınırlı kalması gerekir. Örneğin, dört sanal konağınız varsa ve suEXEC çalıştırıcısının getirilerinden faydalanmak istiyorsanız, sanal konaklarınızın belge kök dizinlerini ana sunucunun belge kök dizininin altında kalacak şekilde yapılandırmanız gerekir (örnek yolda).

ortam değişkeni Bunu değiştirmek tehlikeli olabilir. Bu değişkende tanımladığınız her yolun güvenli bir dizini işaret ettiğinden emin olmalısınız. Başkalarının oralarda bir truva atı çalıştırmasını istemiyorsanız buna çok dikkat ediniz.

Gerçekte ne yaptığınızı bilmiyorsanız bu, büyük bir sorun olabilir. Böyle şeyler yapmaktan mümkün olduğunca uzak durmalısınız.

Modüller | Yönergeler | SSS | Terimler | Site Haritası

Apache HTTP Sunucusu Sürüm 2.4

SuEXEC Desteği

Mevcut Diller: en | fr | ja | ko | tr

SuEXEC Güvenlik Modeli

SuEXEC yapılandırması ve kurulumuna girişmeden önce biraz da gerçekleşmesini istediğiniz güvenlik modelinin ayrıntıları üzerinde duralım. Böylece, suEXEC’in içinde olup bitenleri ve sisteminizin güvenliği için alınacak önlemleri daha iyi anlayabilirsiniz.

suEXEC’in Yapılandırılması ve Kurulumu

suEXEC yapılandırma seçenekleri

suEXEC’in etkin kılınması ve iptal edilmesi

httpd başlatıldığı sırada suexec çalıştırıcısı için --sbindir seçeneği ile tanımlanan dizine bakar (seçeneğin öntanımlı değeri /usr/local/apache/sbin/suexec’tir). httpd düzgün yapılandırılmış bir suEXEC çalıştırıcısı bulduğu takdirde hata günlüğüne şöyle bir ileti yazacaktır:

SuEXEC’in kullanımı

CGI programlarına yapılan isteklerin suEXEC çalıştırıcısı tarafından yerine getirilebilmesi için sanal konağın bir SuexecUserGroup yönergesi içermesi veya isteğin mod_userdir tarafından işleme konulması gerekir.

Uyarılar ve Örnekler

UYARI! Bu bölüm henüz bitmedi. Bu bölümün son hali için çevrimiçi belgelere bakınız.