suEXEC


SuEXEC

ApacheのsuEXECのはの特徴であるApacheの Webサーバ。これにより、ユーザーはCommon Gateway Interface(CGI)およびServer Side Includes(SSI)アプリケーションを別のユーザーとして実行できます。通常、すべてのWebサーバープロセスはデフォルトのWebサーバーユーザーとして実行されます(多くの場合、wwwrun、www-data、apache、またはnobody)。suEXECのの機能は、ウェブサーバとするためのモジュールで構成されたバイナリのラッパーとして機能実行。suEXECはApache1.2で導入され、ほとんどのLinuxディストリビューションで提供されるデフォルトのApacheパッケージに含まれていることがよく SuEXEC リポジトリ
svn .apache .org / repos / asf / httpd / httpd / trunk / modules / generators / mod _suexec .c
クライアントがCGIを要求し、suEXECがアクティブ化されると、suEXECバイナリが呼び出され、CGIスクリプトがラップされ、仮想ホストディレクティブで定義されたサーバープロセス(仮想ホスト)のユーザーアカウントで実行されます。
さらに、suEXECは、実行されたCGIに対してマルチステップチェックを実行して、サーバーのセキュリティを確保します(パスチェック、許可されるコマンドの制限などを含む)。


ユーザー「Alice」は、自分のpublic_html(共通のWebルートディレクトリ名)フォルダにいくつかのCommon Gateway Interfaceスクリプトファイルを含むWebサイトを持っており、からアクセスできますhttps://example.com/~alice。
ユーザー「Bob」がAliceのWebページを表示するようになりました。これには、ApacheがこれらのCGIスクリプトの1つを実行する必要が
すべてのスクリプトを「wwwrun」として実行する代わりに(ファイルがそのグループによって所有されている場合は「wwwrun」グループに対して、またはそれ以外の場合はすべてのユーザーに対して、すべてのスクリプトが読み取り可能で実行可能である必要があります)、のスクリプトは次の/home/alice/public_htmlようになります。 suEXECを使用してラップし、AliceのユーザーIDで実行すると、セキュリティが向上し、すべてのユーザーまたは「wwwrun」グループのすべてのユーザーがスクリプトを読み取り可能で実行可能にする必要がなくなります(代わりに、Alice自身だけがスクリプトを実行できる必要があります)。

参考文献
^ ミラー、クリス。「PHPのデプロイ:mod_php?CGI / suExec?FastCGI?」。ハフィントンポスト。取得した26年2月2015。
^ apache.org-suEXECサポート

外部リンク
apache.org-suEXECサポート(Apache 2.4)
apache.org-suEXECサポート(Apache 1.3)
Stub
  このセキュリティソフトウェア