Apache Virtual Host のディレクトリ毎に SuexecUserGroup は設定できないか？

Httpd の設定で悩んでいます。

1個の VirtualHost 以下のサブディレクトリ毎に、CGIの実行ユーザを切り替えることは不可能でしょうか？

mod_suexec を使用し、V-Host毎に実行ユーザを切り替えることは可能なのですが...

行動規範の内容に同意します

回答2件

ベストアンサー

https://httpd.apache.org/docs/2.4/en/mod/mod_userdir.html

UserDirを使うと、CGIはそのユーザーで実行されていたと思います。

ユースケースがわかりませんが、セキュリティ目的なのであれば必要性含めて十分検討してください。ディレクトリを分離してセキュリティ向上、のつもりがパーミッションが不適切で何の意味も無かった、という事例はままあります。

投稿2017/08/09 04:32

suzukis

総合スコア1449

sysyz

2017/08/09 05:10

なるほど、サブディレクトリをUserDir に割り当ててしまうわけですね。 ~無しでアクセスできるようにすればうまくいきそうな気がします。これまで、userA-example.com, userB-example.com 等でアクセスされていたサイトを、 example.com/userA, example.com/userB 等でアクセスできるように変更する必要があり悩んでいました。

suzukis

2017/08/09 05:19

その構成だとcookie使っているとまずいことになります。サブドメインで分離する方が良いと思います。

sysyz

2017/08/09 05:28

サブディレクトリでのアクセスは必須要件なんで変更できないんですよ。なんで今更サブディレクトリなのかって話はありますが。 cookie の方の domain, path を変更することになりますね。各サイトでは MT, WP 等のCMS、独自のPHPが使用されている程度なんで、設定変更（どのみち変更せねばならないんですし）程度で対応できるのではないかと思っています。どちらかというと、~無しでのアクセスが上手くいくかのほうが心配です。 AliasMatch で存在する DocumentRoot以下のサブディレクトリを含めて上手くアクセスできるかが不安ですね。

suzukis

2017/08/09 05:49

cookieのpath指定による制限は容易に回避可能で実質無意味です。

sysyz

2017/08/09 05:55

うーん、RFC6265通りに動作するブラウザだけじゃないですしね。それ言い出すとにっちもさっちもいかないですし。そもそもがサーバ移転の案件ですし、今回はそこだけにこだわっても仕方ないでしょう。

suzukis

2017/08/09 06:21

http://takagi-hiromitsu.jp/diary/20100501.html#p01 スマートフォンだったのでソースが提示できなかったのですがこの話です。 userAの管理者(やその権限を奪取した攻撃者)はuserAのサイトにアクセスしてきたブラウザに保存されているuserB、C…のcookieをpathによる制限を無視して取得できます。ここは私もうろ覚えだったのですがcookieだけの問題でもありません。これはRFCに違反するブラウザによる誤動作といった話ではなく正常な動作です。

sysyz

2017/08/09 06:36

なるほど、この話ですね。ポインタ、ありがとうございます。 cookie だけというよりクロスサイトスクリプティングの問題のほうが大きいですね。XSS によって、cokie が取得できてしまう、という話ですね。今回の案件は、1社のドメイン内に、別ドメインに分散されている各店の情報を集約し、各々のコンテンツベンダが管理するように変更するというものですので、これについては問題とはなりにくい状況です。お気遣いありがとうございます。本当は各店にサブドメイン振ってやるのがBestなんですけどね。 CDNを使うのに、ドメイン数×100万単位のランニングが発生するらしく、サブドメインでの運用は不可なんですよ。こんな案件もあるんですよね。

行動規範の内容に同意します