Как работает suexec::Журнал СА 7.2009
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6144
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6857
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4140
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2978
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3781
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3789
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6283
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3134
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3434
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7246
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10616
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12336
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13969
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9100
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7053
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5362
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4594
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3402
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3129
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3379
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3000
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Как работает suexec

Архив номеров / 2009 / Выпуск №7 (80) / Как работает suexec

Рубрика: Веб /  Веб

АНДРЕЙ ШЕТУХИН, руководитель почтовой службы Rambler

Как работает suexec

Безопасность – одна из самых важных задач индустрии веб-хостинга. Вторая, не менее значимая, задача – построить систему, удобную для пользователя. Рассмотрим принцип работы одного из инструментов для построения подобной системы – Apache suexec.

Apache suexec впервые появился в версии 1.2 и с тех пор зарекомендовал себя как стабильный и простой инструмент для безопасного запуска пользовательских скриптов. Тем не менее следует отметить, что неправильная настройка или непонимание принципов работы suexec могут привести к печальным последствиям для всего веб-хостинга. Поэтому детальное знание принципов работы suexec необходимо любому администратору веб-сервиса.

Прежде всего надо понимать, для чего предназначен suexec: для безопасного запуcка CGI-сценариев. Поскольку ключевой момент – безопасность, suexec делает множество разнообразнейших проверок, призванных предотвратить возможные попытки взлома системы. Общая схема работы Apache следующая: веб-сервер Apache, как правило[1], запускается от пользователя root, но работает от непривилегированного пользователя, обычно от пользователя www, www-data, apache или nobody (зависит от ОС). Переход от root к непривилегированному пользователю производится системными вызовами setgid и setuid. Вызовы setgid и setuid доступны только пользователю root. Это означает, что никаким образом в рамках одного процесса невозможно из пользователя www стать пользователем username. Будь это не так, ОС UNIX-like были бы дырявы, как решето.

Как же решить задачу исполнения CGI-сценариев от указанного нами в конфигурации Apache пользователя?

Ответ прост: воспользоваться программой suexec.

Схема работы suexec

Схема работы suexec

Suexec – программа, выполняющая CGI-сценарий от указанного владельца. В рамках одного процесса невозможно сменить одного непривилегированного пользователя на другого. Поэтому suexec – отдельная suid-программа, запускающаяся на каждое исполнение CGI-сценария от пользователя root и работающая с правами указанного пользователя. Давайте рассмотрим права доступа к suexec:

ls -la /usr/local/sbin/suexec

-rws--x--x 1 root wheel 10292 30 май 13:58

/usr/local/sbin/suexec*

Символ s в правах доступа означает установленный suid bit. Программа с установленным suid bit независимо от того, кто ее запустил, исполняется от того пользователя, кому принадлежит. Suexec принадлежит root, поэтому, когда Apache его запускает, он работает с правами root.

Далее все просто: suexec делает необходимые проверки и выполняет вызовы setgid и setuid, устанавливая владельца и его группу. Потом запускается требуемый CGI-сценарий. Схематично все описанное выглядит так, как показано на рисунке. Вот, собственно, и весь алгоритм. Дальнейший материал будет посвящен детальному описанию проверок, производимых suexec перед вызовом CGI-сценария.

Конфигурация suexec

Запуск suexec возможен двумя способами:

  •  С параметром -V. В этом случае печатается набор опций, с которыми была собрана программа.
  •  С 3 параметрами командной строки: именем пользователя, именем группы и путем к запускаемому сценарию.

Вывод опций может выглядеть примерно так:

-D AP_DOC_ROOT="/home"

-D AP_GID_MIN=1000

-D AP_HTTPD_USER="www"

-D AP_LOG_EXEC="/var/log/apache/suexec_log"

-D AP_SAFE_PATH="/usr/local/bin:/usr/bin:/bin"

-D AP_UID_MIN=1000

-D AP_USERDIR_SUFFIX="www

 Кратко остановимся на каждой:

AP_DOC_ROOT – каталог, в котором возможен запуск CGI-сценариев. В данном случае – /home и все его подкаталоги. Программы, расположенные в других каталогах, например, в /usr, исполняться не будут.

AP_GID_MIN, AP_UID_MIN – минимальный UID и GID владельца, для которого разрешен запуск CGI.

AP_HTTPD_USER – имя пользователя, от которого запущен Apache. Никто, кроме указанного пользователя, использовать по назначению suexec не может. В случае попытки в лог будет записано сообщение: user mismatch (имя_пользователя instead of www).

AP_LOG_EXEC – имя лог-файла suexec.

AP_SAFE_PATH – список путей, признанных безопасными. Здесь перечислены дополнительные каталоги, откуда возможен запуск программ.

AP_USERDIR_SUFFIX – имя каталога, откуда следует запускать программу в случае, если имя пользователя указано в виде '~username.

AP_SUEXEC_UMASK – маска прав при создании файлов и каталогов.

Алгоритм работы и проверок suexec

Список с примерами ошибок дан в соответствии с последовательностью проверок в коде suexec.c.

  • Очистка переменных окружения. Допустимыми считаются только те переменные, что указаны в списке:
    • HTTP_*
    • SSL_*
    • AUTH_TYPE=
    • CONTENT_LENGTH=
    • CONTENT_TYPE=
    • DATE_GMT=
    • DATE_LOCAL=
    • DOCUMENT_NAME=
    • DOCUMENT_PATH_INFO=
    • DOCUMENT_ROOT=
    • DOCUMENT_URI=
    • GATEWAY_INTERFACE=
    • HTTPS=
    • LAST_MODIFIED=
    • PATH_INFO=
    • PATH_TRANSLATED=
    • QUERY_STRING=
    • QUERY_STRING_UNESCAPED=
    • REMOTE_ADDR=
    • REMOTE_HOST=
    • REMOTE_IDENT=
    • REMOTE_PORT=
    • REMOTE_USER=
    • REDIRECT_HANDLER=
    • REDIRECT_QUERY_STRING=
    • REDIRECT_REMOTE_USER=
    • REDIRECT_STATUS=
    • REDIRECT_URL=
    • REQUEST_METHOD=
    • REQUEST_URI=
    • SCRIPT_FILENAME=
    • SCRIPT_NAME=
    • SCRIPT_URI=
    • SCRIPT_URL=
    • SERVER_ADMIN=
    • SERVER_NAME=
    • SERVER_ADDR=
    • SERVER_PORT=
    • SERVER_PROTOCOL=
    • SERVER_SIGNATURE=
    • SERVER_SOFTWARE=
    • UNIQUE_ID=
    • USER_NAME=
    • TZ=
  • Проверка существования учетной записи пользователя, от которого запускается suexec.
  • Проверка соответствия имени пользователя, запустившего suexec и AP_HTTPD_USER.

 root!machine# suexec stellar stellar /bin/ls

  [2008-10-31 12:34:14]: user mismatch (root instead of www)

  •  Проверка пути к запускаемому CGI-скрипту. Путь к запуcкаемому сценарию не должен начинаться с «/» и «../», а также не должен содержать «/../».

 www!machine$ suexec stellar stellar /bin/ls

 [2008-10-31 12:36:20]: invalid command (/bin/ls)
  •  Проверка существования пользователя (по имени или по ID).

www!machine$ suexec stellar nonexistent ./ls

 [2008-10-31 15:14:34]: invalid target group name: (nonexistent)

www!machine$ suexec stellar 88888 ./ls

 [2008-10-31 15:10:55]: invalid target group id: (88888)
  •  Проверка существования группы пользователя (по имени или по ID).

www!machine$ suexec nonexistent nonexistent ./ls

  [2008-10-31 15:10:47]: invalid target user name: (nonexistent)

 www!machine$ suexec 77777 88888 ./ls

[2008-10-31 15:10:55]: invalid target user id: (77777)

  •  Проверка AP_GID_MIN, AP_UID_MIN – минимальных UID и GID владельца, для которых разрешен запуск CGI.

www!machine$ suexec root 0 ./ls

[2008-10-31 15:16:03]: cannot run as forbidden uid (0/./ls)

www!machine$ suexec stellar 0 ./ls

[2008-10-31 15:16:03]: cannot run as forbidden gid (0/./ls)

  •  Далее производится вызов setgid и setuid. Если возникла ошибка, выдается сообщение:

 www!machine$ suexec stellar stellar ./ls

 [2008-10-31 15:24:01]: uid: (ashetuhin/ashetuhin) gid: (ashetuhin/ashetuhin) cmd: ./ls

[2008-10-31 15:24:01]: failed to setgid (1001: ./ls)

[2008-10-31 15:24:01]: failed to setuid (1001: ./ls)

 Обычно это означает, что неверно выставлены права на программу suexec, а точнее, что не установлен suid bit.

  • Проверка на запуск скрипта из userdir. Если имя пользователя задано с тильдой (~), осуществляется переход в домашний каталог пользователя, а затем – в каталог, заданный в AP_USERDIR_SUFFIX. Если имя пользователя задано без тильды, осуществляется проверка на вхождение текущего каталога в AP_DOC_ROOT[2].

 www!machine$ suexec stellar stellar ./ls

[2008-10-31 15:39:20]: cannot get docroot information (/usr/local/www/data)

  • Проверка прав доступа к текущему рабочему каталогу.
  • Проверка невозможности записи в рабочий каталог для всех, кроме владельца.
  • Проверка прав доступа к запускаемому сценарию.

 www!machine$ suexec stellar stellar ./ls

 [2008-10-31 16:05:39]: cannot stat program: (./nonexistent)
  •  Проверка невозможности записи в файл CGI-сценария для всех, кроме владельца.

www!machine$ suexec stellar stellar ./ls

[2008-10-31 16:08:50]: file is writable by others: (/usr/local/www/data/stellar/./ls)
  •  Проверка отсутствия установленных на файл CGI-сценария suid- и sugid-флагов.

www!machine$ suexec stellar stellar ./ls

[2008-10-31 16:09:34]: file is either setuid or setgid: (/usr/local/www/data/stellar/./ls)

  • Проверка совпадения владельца, группы каталога и запускаемого сценария с указанными в параметрах командной строки suexec.

www!machine$ suexec stellar stellar ./ls

[2008-10-31 15:43:48]: target uid/gid (1001/1001) mismatch with directory (80/80) or program (0/0)
  •  Проверка флага execute CGI-сценария.

www!machine$ suexec stellar stellar ./ls

[2008-10-31 16:10:20]: file has no execute permission: (/usr/local/www/data/stellar/./ls)
  •  Установка AP_SUEXEC_UMASK.
  • Запуск CGI-сценария.

Итак, мы рассмотрели все аспекты работы suexec. Несмотря на то что технологии CGI и SSI все более вытесняются mod_(php|perl|python) и FastCGI, до сих пор существует большое количество приложений, для безопасной работы которых требуется suexec. Надеюсь, статья поможет в освоении этого полезного инструмента.



[1] Запуск от пользователя root требуется для работы с TCP-портами меньше 1024-го. Для выполнения команды bind на 80 порт требуются права суперпользователя.

[2] Получение текущего рабочего каталога, переход в AP_DOC_ROOT, получение имени текущего рабочего каталога (должно получиться AP_DOC_ROOT), переход обратно в каталог, откуда запускалась программа, сравнение полученного каталога и AP_DOC_ROOT. Такая сложная проверка не позволяет подделать путь при помощи символических ссылок.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru