April 20, 2008

仕事する前に、suExecだけやっておいた。

HikiのdataディレクトリはDocumentRoot以下から別のアクセス不能な場所に移動し、@data_pathを修正。

suexec対応するために、dataディレクトリ以下はすべて、suexecさせるユーザに所有者、グループも変更させた。

$ sudo chown -R hoge:fuga data

次に、Apacheのsuexecモジュールを使ってsuExecさせるために、/var/www/hoge以下に下記のようなスクリプトを置く。

(hoge.sh)
======
#!/bin/sh
user=hoge
group=fuga

exec /usr/lib/apache2/suexec $user $group index.fcgi

で、10-fastcgi.confを下記のように修正。

$ rcsdiff -r1.3 -r1.4 -u ./10-fastcgi.conf
===================================================================
RCS file: ./RCS/10-fastcgi.conf,v
retrieving revision 1.3
retrieving revision 1.4
diff -u -r1.3 -r1.4
 --- ./10-fastcgi.conf       2008/04/20 02:14:44     1.3
 +++ ./10-fastcgi.conf       2008/04/20 04:27:52     1.4
 @@ -34,7 +34,8 @@
  fastcgi.server = (
     ".fcgi" => (
             (
 -                   "bin-path" => "/var/www/hoge/index.fcgi",
 +                   #"bin-path" => "/var/www/hoge/index.fcgi",
 +                   "bin-path" => "/var/www/hoge/hoge.sh",
                     "socket" => "/tmp/hoge.socket",
                     "min-procs" => 1,
                     "max-procs" => 2,

あと、Apacheだと、hikiのディレクトリ直下に、.htaccessがあるのだが、これは当然lighttpdでは使えないので、同じような設定をせなアカンことに気がついた。

suexecのラッパースクリプトも直接アクセスさせないようにするには、.htaccessなら下記の様にするが、

Options +ExecCGI

AddHandler cgi-script .cgi
DirectoryIndex hiki.cgi

<Files "hikiconf.rb">
     deny from all
</Files>
<Files "hoge.sh">
     deny from all
</Files>

lighttpdなら下記のようにする。

$ rcsdiff -r1.2 -r1.3 -u ./lighttpd.conf | sed 's/^/ /g'
===================================================================
RCS file: ./RCS/lighttpd.conf,v
retrieving revision 1.2
retrieving revision 1.3
diff -u -r1.2 -r1.3
 --- ./lighttpd.conf 2008/04/20 01:35:43     1.2
 +++ ./lighttpd.conf 2008/04/20 04:37:08     1.3
 @@ -50,7 +50,7 @@
  # ~    is for backupfiles from vi, emacs, joe, ...
  # .inc is often used for code includes which should in general not be part
  #      of the document-root
 -url.access-deny            = ( "~", ".inc" )
 +url.access-deny            = ( "~", ".inc", ".rb", ".sh" )

lighttpdの設定ファイルの記法にも大分なれてきた。理解してしまえば、Apacheよりも分かりやすいなぁ。

投稿者 mkouhei

カテゴリー: Debian

• « ちゃんと終了させるための修正。
• 遊んで気がすんだので。 »

最近の投稿

• LEGO 展示棚を設置しました
• Google Nest Hub, Google Home mini 復活
• ABUS Bordo Lite Mini 6055/60
• ヘッドライトとリアライト
• Brompton M6L を入手しました
• pipenv 環境でのコマンドを直接実行する
• 2017年の振り返りと2018年の抱負
• 再びpython-debianのお話
• VirtualBoxをPowerShellで操作する
• ThinkPad T470sに乗り換え

Search

カテゴリー

• ansible (2)
• Bike (3)
• book (23)
• cat (63)
• Celery (1)
• Cloud (1)
• computer (195)
• CouchDB (35)
• Debian (425)
• Dev (26)
• emacs (1)
• error (74)
• gadget (117)
• Git (14)
• git-buildpackage (1)
• Golang (2)
• Kids (1)
• LDAP (3)
• life (798)
• lint (1)
• MacBook (137)
• meeting (107)
• network (84)
• nonsense (208)
• Ops (90)
• Packaging (3)
• PowerDNS (1)
• programming (7)
• Python (19)
• Ruby (2)
• security (54)
• TeX (13)
• Unix/Linux (238)
• virt. (109)
• Windows (1)
• work (261)

タグ

ansible (2), Ansible (2), ansible galaxy (1), Apache (1), AppArmor (1), apt (3), Armadillo-9 (1), auto install (1), b-mobile WiFi (1), Bash (1), blockdiag (3), blog (1), bootstrap-py (1), Brompton (3), C (1), Cat (1), Celery (3), CentOS (3), Cisco ASA (1), ClamAV (1), CouchDB (4), CouchDB JP (1), daemontools (1), Debian (48), Debian Pure Blend (1), DebianUbuntuAdvent2012 (1), DebianUbuntuAdvent2013 (5), DebianUbuntuAdvent2017 (1), debsign (1), Display manager (1), dnsmasq (2), Dovecot (1), dovecot (1), dvipdfmx (1), e-Tax (2), El Capitan (1), emacs (2), Erlang (4), fastcgi (1), fetchmail (1), gdm (1), Genenga (1), Git (9), git-filter-branch (1), GitLab (2), GitPython (1), Gmail (1), GNU/Linux (1), GnuPG (1), Golang (3), Google Home mini (1), Google Nest Hub (1), Gosh (2), GPT (1), grub2 (3), grubs (1), hddtemp (1), Heroku (1), Hiki (1), hiki (1), i2c-tools (1), include_csv (1), iori (1), IPv6 (2), iPXE (1), Jenkins (5), JetDrive (1), JSON (1), lambda (1), ldapvi (2), LEGO (1), Lenny (4), libvirt (1), lighttpd (4), Linkdraw (1), lint (1), Linux (3), lm-sensors (1), Lua (1), lv (1), lxc (5), MacBook (4), MacBookPro (3), make-jpkg (1), Mercurial (2), mkpasswd (1), mock (1), MVNO (1), MySQL (2), net-tools (1), nginx (2), Nginx (3), nslcd (1), nwfilter (1), omame (3), OpenBlockS (3), OpenConnect (1), OpenLDAP (14), OpenMicroServer (2), OpenSSH (3), openssh-lpk (3), OpenStack (3), Oracle (1), OS X (2), packaging (1), pbuilder (1), pep8 (1), Perl (1), PHP (1), pidgin (1), pipenv (1), piuparts (1), PlantUML (1), plantuml-mode (1), PoE (1), Postfix (2), Power unit (1), PowerDNS (2), PowerShell (1), Precise (1), preseed (2), procmail (1), pylibmc (1), Pyramid (1), pystache (1), Python (16), python (4), python-debian (1), Python-LDAP (1), Python2.6 (1), Python2.7 (1), python_debian (1), python_gnupg (1), RabbitMQ (1), Redmine (1), redmine (1), REPL (1), reportbug (1), reprepro (2), rpm (1), RSA SecurID (1), rsyslog (1), RTX830 (1), Ruby (2), Scratch (1), Sendmail (1), Sid (1), Sinatra (1), slim (1), smbclient (1), sphinx (2), Sphinx (2), Squeeze (1), SSD/Linux (1), sshd (1), sudo (1), Swift (1), Switch (1), Sylpheed (1), sysbench (1), systemd (1), sysvinit (1), TACACS+ (1), td2planet (3), ThinkPad (1), tinkerer (7), Tomcat (1), TonicDNS (3), trac (1), Ubuntu (11), upstart (1), uscan (1), vi (1), virt-manager (1), VirtualBox (3), Vyatta (2), Wheezy (3), wheezy (1), wifi (1), Windows (1), Windows 10 (1), Windows 8.1 (1), work (3), yrmcds (1), ブログ移行 (1), 個人番号カード (2), 確定申告 (2), 自宅サーバの思い出 Advent Calendar 2016 (1)