[gl-como] apache e password

Pietro Bertera gl-como@lists.linux.it
Sat, 29 Mar 2003 18:53:05 +0100


Damiano Venturin wrote:
> mi sto approcciando ad apache; qualcuno sa imboccarmi su una di queste cose?
> 
> 1. necessito di un accesso con pwd tipo webmin su https; apache ha un modulo o 
> qualcosa di gi pronto?

htaccess  semplicissimo,poi lunedi' ti spiego meglio

> 2. ho notato che se vado su https://websrv/ vedo le stesse pagine di 
> http://websrv/ . Come faccio a specificare una dir differente per 
> https://websrv/ ?

per l'https c' un file di configurazione diverso da httpd.conf
in cui ci sar:

ROOT_DOCUMENT="/var/www/html"

o simile, modifica quello


> 3. se devo fare eseguire uno script (ammettiamo con exec di php) con permessi 
> diversi da quelli di apache, come si procede?

problemino...

facciamo caso che lo script gira con i permessi di root.

1) fai girare apache con i permessi di root e allora puoi fare qualunque 
cosa

2) il programmino  suid root

3) usi uno script proxy

la prima  da evitare.

la seconda non  malaccio, bisogna valutare l'ambiente

la terza la spiego:

fai uno script che riceve delle stringhe.
Lo script lo fai girare come root (okkio !!!)
Lo script agisce da proxy perch riceve una stringa ed esegue un comando.

lo script + stupido E INSICURO !!  il seguente:

#!/bin/bash
$*

Ovviamente per evitare casini occorrono molti ma molti ma moltissimi 
controlli sull'input (tipo se puo' eseguire solo 2 comandi, se arriva un 
comando diverso dai due non eseguirlo, controllare l'id e il gid di chi 
chiede l'esecuzione ecc..) e qualche funzione di logging non guasterebbe.
Tieni presente anche le comuni norme sulla programmazione "sicura" se il 
proxy  un eseguibile in C non usare mai strcpy() e simili, controlla 
sempre le dimensioni degli array ecc...

Ovviamente il proxy puo' essere scritto in C, in Java, in bash in perl, 
in php, in quello che vuoi

 sembre buona cosa non avere una relazione diretta tra stringa e 
comando del tipo:

if (strcmp(stringa,comando) == 0)
  system(comando);

ma magari usare delle stringe che variano di volta in volta per un 
signolo comando.

Se poi ti serve l'output del comando il proxy lo deve ricevere e 
rigirare allo script web.
Anche sull'output applica tutti i filtri necessari.

Poi lune passo e giochiamo un po' ;)

ciao