ApacheのPHPでのsuexecのエラーについて

#やりたいこと
VirtualHostごとにsuexecを使って、ユーザー権限で実行したい。
htmlファイルは正常に見ることができます。
よろしくお願いします。
Apache・PHPバージョン

Server version: Apache/2.4.6 (CentOS)

PHP 7.2.18 (cli) (built: Apr 30 2019 15:26:52) ( NTS )
Copyright (c) 1997-2018 The PHP Group
Zend Engine v3.2.0, Copyright (c) 1998-2018 Zend Technologies

#発生しているエラー

End of script output before headers: php-cgi

#設定ファイル等
user.conf

NameVirtualHost *:80
NameVirtualHost *:443
ScriptAlias /php-test /home/test/www/php-cgi
<VirtualHost *:80>
  ServerName test.example.com
  DocumentRoot "/home/test/www/html"
  SuexecUserGroup test  test
RemoveHandler .php .phps
  <FilesMatch .php$>        SetHandler php-cgi
  </FilesMatch>
  Action php-cgi /php-test
</VirtualHost>
<VirtualHost *:443>
    ServerName test.example.com
    DocumentRoot "/home/test/www/html"
    SuexecUserGroup test  test
    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/test.example.com/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/test.exampele.com/privkey.pem
RemoveHandler .php .phps
 <FilesMatch .php$>
        SetHandler php-cgi
  </FilesMatch>
  Action php-cgi /php-test
</VirtualHost>

/home/test/www/php-cgi

#!/bin/sh
exec /usr/bin/php-cgi

/home/test/www/php-cgiの権限設定:

-rwxr-xr-x 1 test test 32  4月 11 14:06 /home/test/www/php-cgi

CHERRY

2019/05/23 23:30

suexec -V の出力結果は、どうなっているでしょうか？

行動規範の内容に同意します

回答1件

ベストアンサー

まず、suEXEC サポートの「suEXEC セキュリティモデル」に記載されている条件をクリアしているか確認してください。

suEXEC で、よく引っかかるのが、

4.対象の CGI, SSI プログラムが安全でない階層の参照をしているか?
13.ディレクトリが Apache のドキュメントツリー内にあるか?
14.ディレクトリを他のユーザが書き込めるようになっていないか?
16.対象となる CGI/SSI プログラムファイルが他アカウントから書き込めるようになっていないか?
18.対象となるユーザ/グループがプログラムのユーザ/グループと同じか?

あたりです。

今回の設定で気になったのは、

DocumentRoot "/home/test/www/html"

のドキュメントルートを /home/test 以下に置いている点です。

Cent OS 7 デフォルトの suEXEC だと suexec -V の結果は、

# suexec -V
 -D AP_DOC_ROOT="/var/www"
 -D AP_GID_MIN=100
 -D AP_HTTPD_USER="apache"
 -D AP_LOG_SYSLOG
 -D AP_SAFE_PATH="/usr/local/bin:/usr/bin:/bin"
 -D AP_UID_MIN=500
 -D AP_USERDIR_SUFFIX="public_html"

となります。

上記の suEXEC の場合、