suEXEC �'
¹®�� �5 �� �5±Ù�� �ó°��� ���)�� ¹®���� Âü����.
suEXEC ±â���� �9�� CGI SSI �á±����� �������� ���
���)�� ID�� �¤¸� ���)�� ID�� ���
�� º¸�
CGI SSI ������ ���
�� �������� ���
���)�� �� ���)���� ���
±â���� ���)�
�� ���)���� �' CGI SSI ������ ������ ���
�� º¸�� ���
�$ ±×���� suEXEC�� ���� ������ �� ¹®�� ÄÄ�
���
���� �� º¸�� �� �� setuid root �á±��è°� ���� �á±����� º¸�� ¹®�� �¤¸� suEXEC�� ���)�
�'�� «�<�� ��
�� ���� �9±×·ì�� ¹®�� �� ��
¸Õ�� setuid setgid ±â���� �%�
���� ����ü���� ���)�
���
�� ¸ð�� ¸÷�� ���� �� �� suEXEC�� �' �¤¸� ���� ���)�
�¤¸� ���� ����
���' ���� ÄÄ�
���
º¸�� ±âº» ���� �´¸��� ���$�
�� �¬±� setuid/setgid ±â�å°� ������ ���
�� º¸�� ¹Ì�� ���� ���� ���
���
���
����
�����' suEXEC �= �' �� ���)�
���
�� ���� ���� º¥�
������ suEXEC �(�� ¸ð�� �=�� Á¶�,�$���
Á¶�,�
�� °ß�
�=�� �(�
�� �� ���
º¸�%�
±â�� ¸ð�� ÁÖ���� ±â�8�� �=�� �� �9¸ø�
¹®�� �� º¸�� �� º¸�� �á±����� ¸Å�� �� �=�� ���
�´º¸±��� �9±×·ì�� °ø�� ���
�¤¸� suEXEC �=�� �'�� �%�
��
����°�4�� ���'¹ü��, �9±×·ì suEXEC�� �9 ±âº»���� ���
���
�' ±â�� °á�� °á±¹ �´¸����� ÁÖ���� ±â�8�,�� suEXEC�� ���4�� suEXEC ���� ���� °ï�
�´¸��� ���� ����¹æ�� suEXEC�� ���� suEXEC ±â���� ���)�
���
º¸�� �1�' �´¸��� ����°¶�� ÁÖ���� ���
�´º��� ��� ���� ���
°ú�� suEXEC�� ���)�
�� ÁÖ���� ���
���
������ suEXEC�� ���)�
�� �9±×·ì �� ¹®�4��
�' ���)�
�� ��? ±×���
? �" ���� !
suEXEC�� ±¸�1�
�� ������ �°¸� º¸��¸ð���� ¸Õ�� ���� ���� ���
suEXEC ¹«�� ���� ���4���� ���
º¸�� ¹«�� Á¶�,�
���� �' ���
���
suEXEC �9 �������� �ö¸��� setuid "wrapper" �á±����� ±â���� wrapper �´¸����� ÁÖ���� �¤¸� userid�� ���
�� ���� CGI SSI �á±����� HTTP �2 �¤¸� �ö¸��� ���� �2 �¤¸� �9 suEXEC wrapper�� �á±������� �á±����� ���
���)�� ±×·ì ID�� °ø�
±×�ì¸� wrapper ���� °ú�� ���
�±°��� ���
���� °á�� Á¶°Ç�$ ���� ���
���
�� ������ ���
���� ±â���� ������ �´¸� �"�� ���
���
�' �¼¸� °ú�� ��
-
wrapper�� ���
���)���� ���
���)�8�
?
wrapper�� ���
���)���� ������ ���
���)�8�� ���
-
�·¸��
���� wrapper�� ���
��?
wrapper �·¸��
���
���<�� ���
�9 �������� ���� wrapper�� �·¸��
���� ���'¸ø�
�� ���
����°Å�� �9 suEXEC ���� ¹®���� ¬´��
-
���)���� wrapper�� ���
�� ����?
���)���� wrapper�� ���
�� ����? ���� ���)��(�9 ���)��)�� ������ ���
-
�' CGI SSI �á±����� �' �³Ã�üÁ��� ���'��?
�' CGI SSI �á±����� '/'�� °Å�� �·Â��! '..' ���'��? ������ ���)�
�' CGI/SSI �á±����� suEXEC ¹®�� root ( --with-suexec-docroot=DIR Âü�
) ���� ����
-
�' ���)���� ���
��?
�' ���)���� Á¸�,�
��?
-
�' ±×·ì�� ���
��?
�' ±×·ì Á¸�,�
��?
-
�' ���)���� superuser�� ��?
suEXEC root�� CGI/SSI ������ ���
��
-
�' userid�� �5 ID ����º¸�� ���
?
���� �5 ���)�� ID ������ �' ±×�� CGI/SSI �á±����� ���
userid �5�9�� �' "���
�� ���
���
-
�' ±×·ì superuser ±×·ì ��?
suEXEC root ±×·ì CGI/SSI �á±����� ���
��
-
�' groupid�� �5 ID ����º¸�� ���
?
���� �5 ±×·ì ID ������ �' ±×�� CGI/SSI �á±����� ���
groupid �5�9�� �' "���
±×·ì ���
���
-
wrapper�� �±°����� �' ���)�� ±×·ì ��?
���
�á±����� setuid setgid ���� �' ���)�� ±×·ì , ±×·ì ±Ù¸ñ�� ���)���� ������ ¸ð�� ±×·ì���� �4±â�
-
CGI/SSI �á±����� ¸®�� ¸®�� �ó°��
��?
¸®�
Á¸�,�
�' �¤¸� ���� �´°����� ¸®�� �ó°��
�¤¸� ¸®�� Á¸�,�
�' ¬´��
-
¸®�
�9 �¹°��� ��?
�� ���� ���� �2 °æ�� �2 ¸®�
suEXEC ¹®�� root ��? UserDir �2 °æ�� �2 ¸®�
suEXEC userdir�� ���� (suEXEC ���� ���� Âü�
) �� ��?
-
�¤¸� ±¸�� ¸®�� �°±��� ��?
¸®�� �¤¸� ������ ���4���� �' ���� �� �� ���)�� �ó°��
-
�' CGI/SSI �á±����� Á¸�,�
��?
Á¸�,�
©¸é ���
-
�¤¸� ±¸�� �' CGI/SSI �á±����� �°±��� ��?
±¸�� CGI/SSI �á±����� �ó°��
�� �'
-
�' CGI/SSI ������ setuid setgid�� ��?
�°¸� �á±����� ���� UID/GID�� �ó°��
�� �'
-
�' ���)��/±×·ì �á±����� ���)��/±×·ì�� ����?
���)���� ���� ���
?
-
·Ö�$�� °æ���� �2 ��?
suEXEC (���� ) ���
PATH�� ���
, (���
���� ) °æ�� ¸ñ�� �´°� ���� �¨±��� ·Ö�$�� °æ���� ���
-
�±°����� �' CGI/SSI �á±����� ���
��?
�¬±� suEXEC�� �� �' CGI/SSI �á±�����
���
suEXEC wrapper º¸��¸ð���� �$ ���� ���� °Ý�
�� CGI/SSI ���
�� �'��, º¸�� ���� �� ���
Á¶�,�$���
¸Å�4��
º¸�� ¸ð���� �� ���� ���� ÁÖ���' suEXEC ���<�� ���� º¸�� ���
�' ¹®�� "���� �� Á¶�,�
Âü�
���� ���� ���)��
suEXEC ±¸�� ����
--enable-suexec- ���� ±âº»���� ����°Å�� ���
�' suEXEC ±â���� ���
APACI�� suEXEC�� ¹ã�4�ä¸�
--enable-suexec ���8�� --with-suexec-xxxxx ���� �5 ��
--with-suexec-bin=PATH-
suexec ¹ê���� °æ�� º¸�� ������ �� ±â�� °æ�� ±âº»�� ¹«�$¸é ���� ���)�
�� ����/em> --with-suexec-bin=/usr/sbin/suexec
--with-suexec-caller=UID- º¸�
�9�� ���
���)����. ������ ���
���
���)��
--with-suexec-userdir=DIR- suEXEC ±Ù�� ���� ���)�� ¸®�� ¸®�� �' ¸®�� ¸ð�� ���
���� ���)�� suEXEC�� ���
����, ¸ð�� �á±����� "���� (�� ���� �� "*" ) "�(�
" UserDir ��� ���)�
�¤¸� �� �� ���4�� UserDir ��
passwd ���� ���)�� ¸®�� �¤¸��� suEXEC ���� �' ±âº»�� "public_html"����
°¼�$�
������ ���� �¤¸� UserDir ���)�
�¤¸� ¸ð�� ���� �� �� ���� ��, �� ���� ¸®�� �¬±� ������ �' �¼¸�, "~userdir" cgi �2 �'
--with-suexec-docroot=DIR- �9 DocumentRoot�� ���� suEXEC�� ���)�
(UserDirs ���
) ���
°ø���� ±âº» ¸®��
--datadir �� "/htdocs" �� ¬´�� �� ����/em> "--datadir=/home/apache"�� ±¸�1�
�¤¸� suEXEC wrapper document root�� "/home/apache/htdocs" ¸®�� ���)�
--with-suexec-uidmin=UID- suEXEC �'�%�
���)�� �5 UID�� ���� ���
500���� 100 ±âº»�� 100����
--with-suexec-gidmin=GID- suEXEC �'�%�
±×·ì �5 GID�� ���� ���
100 ���� �� ±âº»�4��
--with-suexec-logfile=FILE- ¸ð�� suEXEC �� ������ (�� ���� ¸ñ�� ���
) ±â�� �á±��
���� �' ±âº»���� �á±��
���� ���� "suexec_log"���
�$ ���
¸®�� (
--logfiledir) �9
--with-suexec-safepath=PATH- CGI ���
���� °Ü�� PATH °æ���� ±âº»�� "/usr/local/bin:/usr/bin:/bin"����
suEXEC wrapper�� ÄÄ�
���
�� ������/strong>
--enable-suexec ���<�� suEXEC ±â���� �%�
�� °æ�� make ¸÷�4�� ���
�� suexec ���
���� (�9 ���
) ���� ¸Å�4��
¸ð���� ÄÄ�
���
make install ¸÷�4�� ���
���� ¹ê��¸®�
suexec --sbindir ���<�� �' ¸®�� ���� ±âº» �9 "/usr/local/apache2/sbin/suexec"����
���� °ú�� root �� ���� ÁÖ�� wrapper�� ���)�� ID�� ����±â�4�� �� root���
�¼¸��� setuserid ���
¾x�
����
�����& ±Ë��
suEXEC wrapper ���
���)���� ±¸�� ���� --with-suexec-caller�� �' ������ ���)�8�� ���� �'��, �� ���� suEXEC�� ���)�
���
���� ���� ���4�ì¸� ������ Á¶�� ���� ���� ������ �" �������� ���� �9�� ���
±×·ì�� suEXEC�� ���
�� ���$�
�� ���
�� ���� �������� ������ �� ������:
suexec�� "/usr/local/apache2/sbin/suexec" ���$¸é, ���� ���
����
chgrp webgroup /usr/local/apache2/bin/suexec
chmod 4750 /usr/local/apache2/bin/suexec
±×�ì¸� ���� �9�� ���
±×·ì�� suEXEC wrapper�� ���
�9 --sbindir ���<�� �' ¸®�� suexec ���� (±âº»�� "/usr/local/apache2/sbin/suexec") ã�� �9�� ���� ±¸�1�� suEXEC wrapper�� �ð°��
�� ���� ���·error log) ������ �� Ãä�
[notice] suEXEC mechanism enabled (wrapper: /path/to/suexec)
�� �$ ���� ¹®±¸�� �¤¸� �� ±â�� ���� wrapper �á±����� ã�� ¸ø�
°Å��, ���
���� setuid root�� �����'�� ¹®�� ¬´��
ÿ�� suEXEC ±â���� ���)�
�� ���
���� �9 ���� ���
Áâ�ü¸�, �9�� Á×�4�
���� ���� �(�
HUP���� USR1 ±×���� ���� °å�� Ãæ���'
suEXEC�� ���)�
�¤¸� suexec ���� ��
�9�� Á×�4�
���4��
CGI �á±��� �2 °æ�� SuexecUserGroup ��� ���)�
°¼�$�
���� �2 °Å�� mod_userdir �2 �2¸®�
°æ�0���� suEXEC wrapper�� ����
°¼�$�
suEXEC wrapper�� ���)�
���' ¹æ�� VirtualHost SuexecUserGroup ��� ���)�
¬´�� ��� ÁÖ���� ���)�� ID �¤¸��� ������ CGI ¸ð�� �2
���)�� ��
mod_userdir �2 �2¸®�
�¤¸� suEXEC wrapper�� ���� �2 ���)�� ¸®�� �����
���)�� ID�� CGI ������ ���
±â���� �¤¸� ���)�� ID�� CGI�� ���
�� ���
�¬¸����
º¸�� ��/a> ���� �çÁ��
���� ±¸�� ���� --with-suexec-userdir Âü�
suEXEC wrapper ���� º¸�� �¤·� --with-suexec-logfile ���<�� �' ���� ���� wrapper�� ������ ±¸�1�
�� ���$¸é ���� ¸ø���' �á±��
���� �� error_log�� ���
����
ÁÖ��! ���� �' �9±×·ì ������ ¹®�� ¹®�� �5 Âü�
wrapper�� �� ���� ���
�����' ������ suEXEC �(�� "������ º¸�
�� ������ ���
�´º��� ��
- suEXEC ���
/strong>
- �� ±¸Á¶
º¸���� ���(�1�� ¸ð�� suEXEC �2 °¼�$�
���� °æ�� �5 document root ���� userdir �2 °æ�� �5 �� document root ¹ê�� �� ���� °¼�$�
���
�� ���$¸é °¼�$�
���� suEXEC�� ���)�
±â�� °¼�$�
���� document root�� �# �9 ¹®�� �³Ã���! �� ���� �� ( ����.)
- suEXEC PATH °æ��
��
�� �¬±� ���
���
¸ð�� °æ���� ¹Ï�� ¸®�8�� ���
�'±¸�� ±º�
�� ±×°÷ ���ô¸����� ���
�� �' ¬´��
- suEXEC �= ��
��
���� ���'��, ���� ¹«�� �' ¸ð¸£�� �¤¸� ¹®���� �� ���� °æ�0�� �'��
