レンタルサーバー・自宅サーバー設定・構築のヒント
レンタルサーバー・自宅サーバー設定・構築のヒント - レンタルサーバー・自宅サーバーの設定・構築情報を公開しています。

apache のsuEXEC で phpを動かしてみる

2011年5月22日 2015年5月16日
apache fastcgi php suexec

前回の「apache で phpのモジュール版とcgi版の切り替えを行ってみる」の関連で、suEXECを使ってみたいと思います。

suEXEC 機能により、
Apache ユーザは Web サーバを実行しているユーザ ID とは 異なるユーザ ID で CGI プログラムや SSI プログラムを実行することができます。
CGI プログラムまたは SSI プログラムを実行する場合、通常は web サーバと同じユーザで実行されます。

適切に使用すると、この機能によりユーザが個別の CGI や SSI プログラムを開発し実行することで生じるセキュリティ上の危険を、 かなり減らすことができます。
しかし、suEXEC の設定が不適切だと、 多くの問題が生じ、あなたのコンピュータに新しいセキュリティホールを 作ってしまう可能性があります。
あなたが setuid root されたプログラムと、それらから生じるセキュリティ上の問題の管理に 詳しくないようなら、suEXEC の使用を検討しないように強く推奨します。

上記の解説のように、本家 apacheのサイトには記載があります。

suEXECは、phpやperlなどのCGIプログラムをユーザ毎に実行させる・・・
つまり、各ユーザの権限の範囲で動作が可能になる・・・ということですね。

suEXECを使わない場合は、apacheの実行ユーザ(デフォルトの設定では、nobody や apacheなどになります)にてすべてのCGIプログラムが実行されます。
そのため、複数のユーザで運用しているようなサーバーなら他人の公開されているファイル操作もCGIプログラムからやれないこともないわけです。

特に共有のレンタルサーバーでは、ユーザー間でファイルの参照や削除などをやられては、たまったものではありませんね。

そのためよく機能の詳細欄には、

suEXECで実行

などの記述があります。


そこで、今回は、共有レンタルサーバーっぽく、suEXECでphpを走らせてみましょう。

apacheのsuEXECをチェックしましょう

apacheのsuEXECの現状を確認しましょう。
CentOSならインストールされているはずなので、まずは、その確認からはじめましょう。

まずは、インストールの確認です

CentOSの場合、apacheを普通にインストールすれば、suEXECもインストールされています。
ちゃんとインストールされているか確認しましょう。

一般的には、パスがはれているはずなので、whichコマンドで検索できるはずです。


$ which suexec
/usr/sbin/suexec

・・・とこんな感じです。

自力でインストールされた場合は、インストール先などが指定できるのでそれでわかると思います。

また、apacheでは、デフォルトを

/usr/local/apache/sbin/suexec
としていますので、もし探せないようなら、確認してみるのも良いと思います。

また、実際にsuEXECがapache上で動作しているかログで確認することができます。

httpdのエラーログに、以下のようなログが出力されます。

[Wed May 18 05:11:38 2011] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)

次に、suEXECの環境設定の確認です

suEXECのインストールができていたら、以下のようにsuEXECの環境を出力しておきましょう。


$ /usr/sbin/suexec -V
 -D AP_DOC_ROOT="/var/www"
 -D AP_GID_MIN=100
 -D AP_HTTPD_USER="apache"
 -D AP_LOG_EXEC="/var/log/httpd/suexec.log"
 -D AP_SAFE_PATH="/usr/local/bin:/usr/bin:/bin"
 -D AP_UID_MIN=500
 -D AP_USERDIR_SUFFIX="public_html"

この情報は、大事ですから必ずメモしておきましょう。

出力情報について、以下に簡単な解説をしておきます。 (まるまるapacheの引用です。

AP_DOC_ROOT
example “/var/www”
Apache のドキュメントルートを設定します。これが suEXEC の動作で使用する唯一のディレクトリ階層になります (UserDir の指定は別)。デフォルトでは –datedir に “/htdocs” というサフィックスをつけたものです。 “–datadir=/home/apache” として設定すると、 suEXEC wrapper にとって “/home/apache/htdocs” がドキュメントルートとして使われます。

AP_GID_MIN
example 100
suEXEC の対象グループとして許される GID の最小値を指定します。大抵のシステムでは 100 が一般的なので、 デフォルト値としても 100 が使われています。

AP_HTTPD_USER
example “apache”
Apache を通常動作させるユーザ名を指定します。 このユーザだけが suexec の実行を許可されたユーザになります。

AP_LOG_EXEC
example “/var/log/httpd/suexec.log”
suEXEC の処理とエラーが記録されるファイル名を指定します。 (監査やデバッグ目的に有用) デフォルトではログファイルは “suexec_log” という名前で、 標準のログファイルディレクトリ (–logfiledir) に置かれます。

AP_SAFE_PATH
example “/usr/local/bin:/usr/bin:/bin”
CGI 実行ファイルに渡される安全な PATH 環境変数です。 デフォルト値は “/usr/local/bin:/usr/bin:/bin” です。

AP_UID_MIN
example 500
suEXEC の対象ユーザとして許される UID の最小値を指定します。 大抵のシステムでは 500 か 100 が一般的です。 デフォルト値は 100 です。
AP_USERDIR_SUFFIX
example “public_html”
suEXEC がアクセスを許されるユーザホームディレクトリ配下の サブディレクトリを指定します。 このディレクトリ以下の全実行ファイルは、”安全な”プログラムになるよう、 suEXEC がそのユーザとして実行できるようにします。 “単純な” UserDir ディレクティブを使っている場合 (すなわち “*” を含まないもの)、これと同じ値を設定すべきです。 Userdir ディレクティブがそのユーザのパスワードファイル内の ホームディレクトリと同じ場所を指していなければ、 suEXEC は適切に動作しません。デフォルトは “public_html” です。
各 UserDir が異なった仮想ホストを設定している場合、 それらを全て一つの親ディレクトリに含めて、 その親ディレクトリの名前をここで指定する必要があります。 このように指定されなければ “~userdir” cgi へのリクエストが動作しません。
もしもインストールできていないようなら、インストールしましょう。

古いバージョンならありえますが、最近では、ほとんど何もせずにインストールできているはずです。
比較的新しいバージョンなのにインストールできていない場合は、意識的にインストールしていない場合が多いので、確認しましょう。

また、上記の環境は、confファイルなどでの変更はできません。
もし、変更したい場合は、リコンパイルになります。

apacheの環境を変更している方は、リコンパイルが必要になるかもしれませんが、ほとんどの方には、そのまま利用できると思います。

続けて、phpの環境設定をあわせて実施してみましょう。

phpをsuEXECの環境下で動かすための環境設定をしましょう

phpをapacheのsuEXECの下で動作させるためには、いくつかの設定を行う必要があります。
ここでは、suEXECの特徴でもあるユーザ毎の権限を確認するためにも2人のユーザ(piyo,hoge)を使って、各ユーザサイトをsuEXECの下で動作できるように設定してみましょう。

ここでは、2人のユーザ(piyo,hoge)は、グループ名もそれぞれユーザ名と同じグループ名としましょう。(デフォルトでは、ユーザ登録するとそうなるのでそうします。)
また、特別な権限を持つ(wheelなど)に所属していないものとして、以降に簡単に解説してみます。

各ユーザの仮想ホストを設定する

確認するためのありますが、まずは、各ユーザサイトをapacheの仮想ホスト(VirtualHost)を使って登録します。

この際、仮想ホストのsuEXEC を実行するユーザ、グループを指定するために、SuexecUserGroup のパラメータを設定します。

以下は、/etc/httpd/conf/httpd.confの設定例です。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
ScriptAlias /php5-piyo /var/www/users/cgi-piyo/php-cgi
ScriptAlias /php5-hoge /var/www/users/cgi-hoge/php-cgi

<VirtualHost *:80>
  ServerName piyo.example.com
  DocumentRoot "/home/piyo/public_html"
  ServerAlias piyo.example.com
  SuexecUserGroup piyo piyo

  ErrorLog /var/log/httpd/piyo_example-error.log
  CustomLog /var/log/httpd/piyo_example-access.log
  <Directory "/home/piyo/public_html">
    Options FollowSymLinks ExecCGI
    DirectoryIndex index.php index.html index.htm index.cgi
    AllowOverride All
    Order allow,deny
    Allow from all
  </Directory>
</VirtualHost>

<VirtualHost *:80>
  ServerName hoge.example.com
  DocumentRoot "/home/hoge/public_html"
  ServerAlias hoge.example.com
  SuexecUserGroup hoge piyo

  ErrorLog /var/log/httpd/hoge_example-error.log
  CustomLog /var/log/httpd/hoge_example-access.log
  <Directory "/home/hoge/public_html">
    Options FollowSymLinks ExecCGI
    DirectoryIndex index.php index.html index.htm index.cgi
    AllowOverride All
    Order allow,deny
    Allow from all
  </Directory>
</VirtualHost>

  • 1 – 2 行目 : phpのcgi版を実行するシェルスクリプトファイルのエイリアス(別名)設定になります。(詳細は、こちら

    各ユーザ毎に用意してあげる必要があります。
    実行する際は、SuexecUserGroupで指定した同じユーザ所有のファイルでなければ実行できません。

  • 4 – 19 行目 : piyoのサイト定義になります。
    • ドメイン : piyo.example.com
    • ルートディレクトリ : /home/piyo/public_html (詳細は、こちら
    • suEXECユーザ : piyo
  • 21 – 36 行目 : hogeのサイト定義になります。
    • ドメイン : hoge.example.com
    • ルートディレクトリ : /home/hoge/public_html (詳細は、こちら
    • suEXECユーザ : hoge
Optionsは、phpを動作させるために最低限ExecCGIの指定は必要です。 AllowOverrideは、ここでは、Allを指定しています。後で出てきますが、.htaccessを使いたいからです。(詳細は、こちら

各ユーザのphpのcgi版を実行するシェルスクリプトファイルを作成する

先の仮想ホスト設定でphpのcgi版を実行するシェルスクリプトファイルのエイリアス(別名)を設定しました。
ここでは、そのシェルスクリプトの実態を作成します。

まずは、ディレクトリを各ユーザ毎に作成します。もちろん作成したディレクトリの所有者は、各ユーザとなります。

以下で、su で rootになって、ディレクトリを作成してみます。

$ mkdir /var/www/users
$ mkdir /var/www/users/cgi-piyo
$ mkdir /var/www/users/cgi-hoge
$ chmod 0711 /var/www/users
$ chmod 0710 /var/www/users/cgi-piyo
$ chmod 0710 /var/www/users/cgi-hoge
$ chown apache.apache /var/www/users
$ chown piyo.piyo /var/www/users/cgi-piyo
$ chown hoge.hoge /var/www/users/cgi-hoge
/var/www/users は、apacheの所有にして、みんな参照はできるようにしておきます。
/var/www/users/cgi-piyo は、piyoの所有にして、piyoと同じクループまで参照はできるようにしておきます。
/var/www/users/cgi-hoge は、hogeの所有にして、hogeと同じクループまで参照はできるようにしておきます。


続けて作成したディレクトリにシェルスクリプトを作成します。
シェルの内容は、以下のようなものです。
#!/bin/sh
exec /usr/bin/php-cgi
簡単ですね。php-cgiを実行しているだけのものです。

これと同じものを、

/var/www/users/cgi-piyo
/var/www/users/cgi-hoge

の両方にphp-cgiというファイル名で作成します。
もちろん所有者は、各ユーザになります。
実行権も同じグループまで付与します。

$ chmod 750 /var/www/users/cgi-piyo/php-cgi
$ chmod 750 /var/www/users/cgi-hoge/php-cgi
$ chown piyo.piyo /var/www/users/cgi-piyo/php-cgi
$ chown hoge.hoge /var/www/users/cgi-hoge/php-cgi

各ユーザの仮想ホストのルートディレクトリを作成する

先の仮想ホスト設定で仮想ホストのルートディレクトリを設定しました。
そのディレクトリは、自分で作成します。

以下で、su で rootになって、ディレクトリを作成してみます。

$ mkdir /home/piyo/public_html
$ mkdir /home/hoge/public_html
$ chmod 0710 /home/piyo
$ chmod 0710 /home/piyo/public_html
$ chmod 0710 /home/hoge
$ chmod 0710 /home/hoge/public_html
$ chown piyo.piyo /home/piyo/public_html
$ chown hoge.hoge /home/hoge/public_html
前半のmkdirでディレクトリ作成をして、
後半のchmodでディレクトリの権限をグループまでは参照してもOKとしています。

各ユーザのルートディレクトリに.htaccessを作成する

各ユーザのルートディレクトリに.htaccessを作成し、phpの動作を指定します。

piyoの場合

Action php5-cgi /php5-piyo
AddHandler php5-cgi .php

hogeの場合
Action php5-cgi /php5-hoge
AddHandler php5-cgi .php

とこんな感じです。
各ユーザ毎に準備したphpのシェルスクリプトファイルをそれぞれに割り当てる感じです。

これで、phpを実行する場合、piyoであれば、
/var/www/users/cgi-piyo/php-cgi
が実行されることになります。

各ユーザグループをapacheに追加し、apacheを再起動する

環境設定は、これで最後になります。

各ユーザグループをapacheに追加し
apacheを再起動します。

$ usermod -G piyo,hoge apache
$ /etc/init.d/httpd restart
httpd を停止中:                                            [  OK  ]
httpd を起動中:                                            [  OK  ]

とこんな感じです。

phpをsuEXECの環境下で動かしてみましょう

さあ、これで環境が整ったはずなので、動かしてみましょう。

動作確認は、簡単です。
まずは、 以下のphp情報だけを出力するphpファイルをサンプルとして各ユーザサイトの各ルートディレクトリにおいてみましょう。

>?php
echo phpinfo();
?>

さあ、アクセスして以下のような画面がでればOKです。
もちろん各ユーザのサイトで確認しましょう。
piyoなら、ここの例では、piyo.example.com にアクセスしてみましょう。

phpinfo

これができたら、次は、エラーを発生させてみましょう。
これも簡単で、単純にphpのcgi版を実行するためのシェルスクリプトの所有者を変更してみればOKです。
piyoなら、ここの例では、/var/www/users/cgi-piyo/php-cgi の所有者をhogeに変更して、

$ chown hoge.hoge /var/www/users/cgi-piyo/php-cgi

piyo.example.com にアクセスしてみましょう。
以下のようなエラー500が表示されればOKです。ちゃんとsuEXECが機能してます。

suexec error

suexecのログも確認しておきましょう。デフォルトでは、/var/log/httpd/suexec.logに出力されるはずです。

以下のように出力されてます。プログラムのユーザと実行しているユーザが異なる由のエラーです。

[2011-05-19 06:59:56]: target uid/gid (501/501) mismatch with directory (501/501) or program (500/500)
ざっとこんな感じです。いかがだったでしょうか?
ちょっと、面倒ですが、複数のユーザが同じサーバーでサイトを立ち上げるような場合は、セキュリティ強化のためには、この設定は必要だと思いますね。
でも、それって共有レンタルサーバーそのもののような気もしますね。
ここまでちゃんとユーザ毎にsuEXECを使うのは、あんまりないかもしれませんね。

ただphpの場合、個人的にはちょっとはまりやすい点もあったので整理の意味でまとめてみました。

phpの場合、php-cgiのありかではまりやすいんですよね。

ここでは、/var/www/users というディレクトリを作成して、その配下に各ユーザ毎のディレクトリを作成し、そこにphp-cgiを設置しています。

たとえば、以下の例では、

/var/www/user/cgi-piyo/php-cgi

/cgi-piyo/php-cgiの部分は、すべてオーナーが各ユーザでなければ動作しません。

案外、ここではまるんですよね。自分も最初は、ずいぶんはまりました。
参考:

suEXECを停止したい(利用したくない)場合は、suexecの実行ファイルをリネームして、apacheを再起動すればOKです。
$ mv /usr/sbin/suexec /usr/sbin/suexec_back
$ /etc/init.d/httpd restart
こんな感じです。
ご利用のブラウザは、広告ブロック(AdBlockなど) が適用となっていませんか?
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない検索ができないことがあります。


関連記事 :

FreeBSDでapacheをインストール

さて、今回は、apacheのインストール手順です。 これができれば、Wordpress,Joomla!などphp + mysqlの組み合わせの ...

SSHコマンドで 公開鍵認証(鍵交換)を使ってSSH 接続してみる

以前に、TeraTermで 公開鍵認証(鍵交換)を使ってSSH 接続してみる でTeraTerm を使った公開鍵認証(鍵交換認証)を ...

ログインできないユーザの作成とログインできるように変更するコマンドの使用方法

今回は、前回「CentOSでユーザ管理・グループ管理するコマンド」の続きでログインできないユーザ管理です。 よくあるログインできないユーザ ...

Dovecotでfchmodのエラーが出た時の対処

LogWatchなどでDovecotのログを確認していると以下のようなエラーメッセージが出力されることがあります。 **Unmatched ...

apache で phpのモジュール版とcgi版の切り替えを行ってみる

これまでのapache , php の設定では、暗黙の了解?ではないのですが、phpの動作環境としては、モジュール版として動作するように設定して ...


1 件 コメントがあります。 コメントを投稿する
  1. […] 「レンタルサーバー・自宅サーバー設定・構築のヒント」様を参考にさせて頂きましたので、詳細はそちらをご覧ください。 […]


コメントを投稿 :

お名前 *

メールアドレス *
( メールアドレスが公開されることはありません。)

サイトアドレス

コメント *

* 印の項目は、入力が必要な項目です。




最近投稿の記事

[ 画像提供元 : Amazon ] 先日、1TBのディスクの入れ替え時にバックアップをとろうとディスクコピーを行いました。 その際 ...

Windows で Linux ファイルシステム Ext4 のディスクをマウントするには? Ext3Fsd が、おそらく、最も簡単なツール ...

今回は、Windows で Compass を使ってみました。 Compass とは、 Sass(サス、Syntactica ...

今回は、Anti Adblock を使ってみました。 Anti Adblock とは、 そもそも Adblock という ウェブ ...

デスクトップ環境でない サーバーで、Webページのキャプチャー画像をコマンドで撮る には、wkhtmltoimage, CutyCapt ...


さくらのVPS 全プラン リニューアルです。(石狩(北海道)も選択可)


root権限ありで ¥685 / 月 ~ と非常にリーズナブルな CPU 1(core)の 512 プランから、 最高 CPU 10(core), メモリ 32(GB), SSD容量 800(GB) までとプランが充実。
ディスクは、SSDとHDDの選択が可能になった他、データセンターは人気の東京、石狩(北海道)となりました。

また、どのプランでも好きなOSが選べます
( CentOS, Fedora, Scientific Linux, FreeBSD, Ubutu, Debian )

管理人もおすすめのVPSです。
試用期間がありますから、一度、お試しを!!

詳しくは、http://vps.sakura.ad.jp/さくらのVPSのサイトへ へどうぞ!!

カテゴリ


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。
最近、スワップにも対応した Serverman@VPS は、かなりリーズナブルかもです。

  • メモリ1GB~2GBのEntryプラン :月額:490円
  • メモリ2MB~4GBのStandardプラン :月額:980円
  • メモリ4GB~8GBのProプラン :月額:1,980円

新規申し込みで1ヶ月間完全無料となるキャンペーンを実施中です。
Serverman@VPSの特徴は、安さとIPv6対応です。また、初期設定費0円もポイントです。

IPv6でちょっと遊んでみたい方には、おすすめかもしれませんね。最低利用期間もありませんから、気に入らないときは即解約もできます。

Serverman@VPSの詳細については、 http://dream.jp/vps/ Serverman@VPSのサイトへへどうぞ。



KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。


ConoHa VPS は、初期設定費0円最低利用期間無し時間単位で清算可能、 さらに、Web APIを使って自動化を図ることもできる便利なVPSです。

海外サーバー設置も可能で、ローカル接続にも対応と、かなり、機能豊富なサーバーです。

新規ユーザ登録で、クーポンもらえますから、まずは、お試しですね。

ConoHa VPSの詳細については、
http://www.conoha.jp/ へどうぞ。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。


メモリ2GBプラン CPU:3core、Disk:200GB
月額:1,153円から (初期設定:1,680円0円)

さくらのVPSがリニューアルされてもなんのその。
1GBメモリ / 2Core を ¥834 – の格安価格で提供中です!
間違いなくスペックからすると割安感ありです。
年間割引時の途中解約で返金がないのは、 ちょっと残念ですが、それでもこの割安感は魅力です。

まずは、お試しですね。

お名前.com VPS(KVM)の詳細については、
http://www.onamae-server.com/vps/ へどうぞ。(お試し期間が15日あります。)



  • ソーシャルブックマーク

  • はてなブックマークへ追加するはてな登録数
ページトップへ
Time : 0.2163 [s]