Journal ce Maudit GRSecurity

Posté par  .
Étiquettes :
0
3
sept.
2003
Chère journal,

je déprime vraiment ;-), après ces windowsien que je connais pas qui
veulent me rendre malade avec leur virus, j'ai mon serveur WWW qui
m'embête.

Comment ca ??, et bien en ne voulant pas m'exécuter un script cgi autre
part que dans le repertoire d'apache (/home/www/).

J'ai essayé plein de trucs et astuces, j'ai cherché sur le net, tout le mondde
à ce problème mais personne ne connais la soluce :'-(.

En fait, j'ai configuré apache pour que les utilisateurs du system (moi) puissent
avoir un site perso en /~username. Mais hélas, lorsque apache essai
d'executer le script cgi-bin (un scirpt bash), j'ai le log suivant dans messages:

[log]
Sep 3 12:36:50 ProxyDNG kernel: grsec: denied exec of /home/sogarf/public_html/cgi-bin by (httpd2:28828) UID(72) EUID(72), parent (httpd2:17625) UID(72) EUID(72) reason: untrusted
[/log]

Si tu pouvait, toi qui sait tout, me dire comme faire pour que ca fonctionne,
je t'en serais éternellement reconnaissant.
  • # Re: ce Maudit GRSecurity

    Posté par  . Évalué à 2.

    Donner la permission ExecCGI aux fichiers dont le suffixe est (par exemple) .cgi fonctionne chez moi (©®tm). Ils ne doivent être accessible en écriture qu'au seul propriétaire du fichier mais exécutable par tous (chmod 755). Je sais pas si tu as exploré cette piste...
  • # Re: ce Maudit GRSecurity

    Posté par  . Évalué à 2.

    Jamais eu ce probleme, mais j'ai cherche : UserDir + cgi sur google group j'ai eu qq pistes...

    Regarde du cote de suexec, teste que l'utilisateur peur lancer le script en console, verifie les droits d'execution...


    Va voir par là : http://groups.google.fr/groups?q=cgi+userDir&hl=fr&lr=&(...)

    Bon courage.
    • [^] # Re: ce Maudit GRSecurity

      Posté par  . Évalué à 2.

      Ah oui je viens de relire ton message d'erreur regarde l'option GRSecurity compilee dans le noyau, avec cette option apache doit etre moins permissif....
      • [^] # Re: ce Maudit GRSecurity

        Posté par  . Évalué à 1.

        ben ouais , je sais que c un bloquage de grSecurity (enfin je pense)
        ce qui m'embête c'est que la seule solution que j'ai trouvé C T de
        recompiler le noyau en enlevant GrSecurity et comme solution, c'est can
        même pas térible je trouve.

        Je pense qu'il existe un moyen pour "dire" à grsecurity que l'utilisateur
        apache a le droit d'executé des binaires qui ne lui appartiennent pas.

        Si j'essai en ligne de commande voilà le resultat :
        (apacheftp et apache ont le même UserID et GroupID)

        > [root@ProxyDNG root]# su - apacheftp
        > -bash-2.05b$ cd /home/sogarf/public_html/cgi-bin/
        > -bash-2.05b$ ./index.cgi
        > -bash: ./index.cgi: /bin/sh: bad interpreter: Permission denied

        et dans les log j'ai :
        > Sep 3 14:04:40 ProxyDNG kernel: grsec: denied exec of ./index.cgi by (bash:11479) UID(72) EUID(72), parent (bash:22818) UID(72) EUID(72) reason: untrusted

        Je pense vraiment que c'est un problème de sécurité qui empèche
        l'utilisateur apache d'executé un programme qui ne lui appartient pas.
        Apache est lui bien configuré étant donné que les cgi appartenant a
        apache fonctionne.

        De plus, les fichiers sont tous en 755.



        Je viens de testé un truc, le repertoire de apache est dans /home/www.
        Le repertoire de mon utilisateur est /home/sogarf.

        Si j'affecte le cgi a l'utilisateur apache:apache, ca ne fonctionne tjs pas
        Par contre, un chown apache:apache -R /home/sogarf, et hop la
        l'execution fonction, mais la solution n'est pas bonne, car le but
        est de pourvoir administrer de site de sogarf via ftp.
        • [^] # Re: ce Maudit GRSecurity

          Posté par  (site web personnel) . Évalué à 1.

          Y'a pas des protections anti-exec lié par les groupes d'utilisateurs (fonction controlé par grsecurity)?

          "La première sécurité est la liberté"

          • [^] # Re: ce Maudit GRSecurity

            Posté par  . Évalué à 1.

            ben c possible, mais je sais pas du tout comme ca marche grsecurity.

            Je commence seulement a savoir utiliser/configurer ma Mandrake 9.1
            et le grsec, c'est une partie de j'ai pas encore vu :'-(

            Alors, c'est a peine si je connai le principe de fonctionnement.
            • [^] # systrace

              Posté par  . Évalué à 1.

              systrace a l'air + souple que grsecurity et est interactif (il peut te demander ton avis avant de refuser un accès et mémoriser ton choix pour les futurs accès similaires)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.