Suexec

Suexec это механизм в Apache, используемый для запуска скриптов и CGI-приложений с -правами и идентификационными данными пользователя.

suEXEC позволяет запускать скрипты от имени владельца сайта и соответственно создавать/менять файлы, принадлежащие ему.

Обязательные условия при заведении новых клиентов

  • Общие
    1. Пользователей для веба заводить только в соответствующую группу, например webusers. Эта группа указана в файле /etc/ftpchroot, чтобы по фтп не могли подняться выше своей домашней папки. Кому надо, выставлять квоты командой:
    2. edquota -u username

    3. Домашние папки клиентов должны принадлежать им и группе webusers, права на запись должны быть только у владельца, но не у группы и тем более не у всех.

  • Для suEXEC
    1. Домашние папки пользователей должны быть только в каталоге '/usr/local/apache/htdocs'. Т. к. только для скриптов из этой папки (рекурсивно) действует suEXEC.
    2. И скрипты, и папка cgi-bin должны принадлежать клиенту.
    3. При настройке виртуального хоста в Апаче, кроме обычных, указать параметры:
    4. User user_name
      Group webusers

      Например:

      User pupkin
      Group webusers
      DocumentRoot /usr/local/apache/htdocs/pupkin
      ServerName pupkin.elcat.kg
    5. Логи, касающиеся suEXEC, пишутся в файл '/usr/local/apache/logs/suexec.log'.


Оставить комментарий