несколько вопросов по настройке apache + suexec +

[muhlik]

Приветствую всех!!!

Народ подскажите пожалуйста как можно решить вот такие вопросы:
1. как настроить(собрать, подправить) PHP что бы при создании фаилов из скриптов они создавались с маской 002, а не 022?
2. что подправить в исходниках PHP что бы он все popen пропускал через suexec?
3. как сделать так что бы suexec выполнял скрипты с правами rwxrwxr-x, а не только rwxr-xr-x?

PS ну вот собственно и все

[Антон Нехороших]

1 перед запуском апачи сказать umask 002
2 написать свой supopen
3 поправить suexec

[muhlik]

Цитата:

Сообщение от [b

Цитата[/b] (Антон Нехороших @ 02 Июня 2004, 12:54)]1 перед запуском апачи сказать umask 002
2 написать свой supopen
3 поправить suexec

Спасибо огромное!!! Я собственно и надеялся что Вы ответите
ЗЫ не очень информативно но направление указано...

[muhlik]

Итак пункт 3-й решен заменой:
if ((dir_info.st_mode & S_IWOTH) || (dir_info.st_mode & S_IWGRP)) {
log_err("error: directory is writable by others: (%s)\n", cwd);
exit(116);
}
на:
if (dir_info.st_mode & S_IWOTH)) {
log_err("error: directory is writable by others: (%s)\n", cwd);
exit(116);
}
2-й пункт в решении
1-й пункт пытался решить так: в стандартном /usr/local/etc/rc.d/apache.sh есть вот такая строка:
start_precmd="`/usr/bin/limits -e -U www`"
заменил на:
start_precmd="`/usr/bin/limits -e -U www;/usr/bin/umask 002`"
не помогло

[Антон Нехороших]

А зачем вообще такая маска то?
Это же дырка делать на файлы права rwxr-xr-x, хотябы юзать umask 007

[muhlik]

Цитата:

Сообщение от [b

Цитата[/b] (Антон Нехороших @ 03 Июня 2004, 11:00)]А зачем вообще такая маска то?
Это же дырка делать на файлы права rwxr-xr-x, хотябы юзать umask 007

да я не против мне главное что бы созданные PHP-ой файлы были доступни для записи для группы!!!

[Антон Нехороших]

ну тогда umask 007

[muhlik]

Цитата:

Сообщение от [b

Цитата[/b] (Антон Нехороших @ 03 Июня 2004, 11:19)]ну тогда umask 007

Антон, я же в 4-ом посте написал что не помогло может я не там umask вставил.

ЗЫ я даже в login.conf прописал
webuser:\
:umask=002:\
:tc=default:
внес пользователя www (от которого работает apache) в класс webuser, но и это не помогло

ЗЫЫ все заработало
ЗЫЫЫ ну а по поводу popen никто поконкретнее не подскажет

[muhlik]

ну вот осталось сделать 2 пункт, подскажите хоть в правильном направлении движусь
в php есть файлик ./TSRM/tsrm_virtual_cwd.h, а там есть:

#define VCWD_POPEN(command, type) popen(command, type)

этот define я так понял используется везде и в exec.c и ...

его можно заменить на(как предложил А.Н.):
#define VCWD_POPEN(command, type) supopen(command, type)

а потом в функции supopen заменить command на command = "/usr/local/bin/suexec ...." + command
аргументы которые нужно передать suexec можно узнать из исходников apache, вот я только не знаю откуда взять в коде PHP пользователя который прописан в virtualhost в конфиге апача?

[Антон Нехороших]

[root@master TSRM]# diff tsrm_virtual_cwd.h.orig tsrm_virtual_cwd.h
227c227
< #define VCWD_POPEN(command, type) virtual_popen(command, type TSRMLS_CC)
---
> #define VCWD_POPEN(command, type) PG(doc_root) ? supopen(PG(doc_root),command, type) : popen(command, type)
254c254
< #define VCWD_POPEN(command, type) popen(command, type)
---
> #define VCWD_POPEN(command, type) PG(doc_root) ? supopen(PG(doc_root),command, type) : popen(command, type)