今のディレクトリ構成等を suEXEC に対応させようとするとおおごとだということで、suexec コマンドを削除(実際は別名に変更)して、強引に Apache の suEXEC を無効にしてたのだが、サーバの自動更新機能で勝手に suEXEC 環境が復活してしまう(suexec をインストールしてしまう)
仕方ないので、SuexecUserGroup 設定を「一番多いユーザに合わせて」行い、そこから漏れて suEXEC のセキュリティチェックに引っかかっちゃうやつは手動でユーザ及びパーミッションを直していくことにした。
で、昼からずっとテストをしているのだが、今のところ手動で直さないといけない部分はあまり出てきてないので、何とかこれでいけそうな感じ。
しかし、あれやねえ、suEXEC はほんまに不必要に厳しいねえ。
SuexecUserGroup 設定で、ユーザとグループを設定するので、当然、オーナーがそのユーザ&グループと同じディレクトリなら、同じグループのメンバーは書込可能な 775 のパーミッションでも良いだろうと思ってたら、これも directory is writable by others でエラーになりますなあ。
結局、設定したユーザ/グループで CGI が実行されるってだけで、同じグループのメンバーだからって甘い顔はしませんよってことなんだな。(^^;
SuexecUserGroup で設定したユーザだけ書込可でないとあきまへんよと。
・・・む~ん・・・
コメントする