Apache HTTP Sunucusu Sürüm 2.3
SuEXEC özelliği, Apache kullanıcılarına CGI ve SSI programlarını sunucunun aidiyetinde çalıştığı kullanıcıdan farklı bir kullanıcının aidiyetinde çalıştırma olanağı verir. Normalde, CGI ve SSI programlarını çalıştıranla sunucuyu çalıştıran aynı kullanıcıdır.
Gerektiği gibi kullanıldığında bu özellik, kullanıcılara CGI ve SSI programlarını çalıştırma ve geliştirmeye izin vermekle ortaya çıkan güvenlik risklerini azaltır. Bununla birlikte, suEXEC gerektiği gibi yapılandırılmadığı takdirde bazı sorunlara yol açabilir ve bilgisayar güvenliğinizde yeni delikler ortaya çıkmasına sebep olabilir. Güvenlikle ilgili mevcut sorunlarla başa çıkmada ve setuid root programları yönetmekte bilgi ve deneyim sahibi değilseniz suEXEC kullanmayı kesinlikle düşünmemenizi öneririz.
Belgeye balıklama dalmadan önce, Apache Grubu ve bu belge ile ilgili kabuller hakkında bilgi sahibi olmalısınız.
Öncelikle, üzerinde setuid va setgid işlemlerinin yapılabildiği Unix türevi bir işletim sistemi kullandığınızı varsayıyoruz. Tüm komut örnekleri buna dayanarak verilmiştir. Bu desteğe sahip başka platformlar varsa onlardaki yapılandırma burada anlattığımız yapılandırmadan farklı olabilir.
İkinci olarak, bilgisayarınızın güvenliği ve yönetimi ile ilgili bazı temel kavramları bildiğinizi kabul ediyoruz. Buna setuid/setgid işlemlerinin sisteminiz ve güvenlik seviyesi üzerindeki etkilerini bilmek dahildir.
Üçüncü olarak, suEXEC kodunun değiştirilmemiş bir sürümünü kullandığınızı varsayıyoruz. Tüm suEXEC kodu, geliştiricilerin yanında sayısız beta kullanıcısı tarafından dikkatle incelenmiş ve denenmiştir. Kodların hem basit hem de sağlam bir şekilde güvenli olması için gerekli tüm önlemler alınmıştır. Bu kodun değiştirilmesi beklenmedik sorunlara ve yeni güvenlik risklerine yol açabilir. Özellikle güvenlikle ilgili programlarda deneyimli değilseniz suEXEC kodunda kesinlikle bir değişiklik yapmamalısınız. Değişiklik yaparsanız kodlarınızı gözden geçirmek ve tartışmak üzere Apache Grubu ile paylaşmanızı öneririz.
Dördüncü ve son olarak, Apache Grubunun suEXEC’i öntanımlı Apache kurulumunun bir parçası yapmama kararından bahsetmek gerekir. Bunun sonucu olarak, suEXEC yapılandırması sistem yöneticisinin ayrıntılı bir incelemesini gerektirir. Gerekli incelemeden sonra yönetici tarafından suEXEC yapılandırma seçeneklerine karar verilip, normal yollardan sisteme kurulumu yapılır. Bu seçeneklerin belirlenmesi, suEXEC işlevselliğinin kullanımı sırasında sistem güvenliğini gerektiği gibi sağlamak için yönetici tarafından dikkatle saptanmayı gerektirir. Bu sürecin ayrıntılarının yöneticiye bırakılma sebebi, Apache Grubunun suEXEC kurulumunu, suEXEC’i dikkatle kullanacak yeterliliğe sahip olanlarla sınırlama beklentisidir.
Hala bizimle misiniz? Evet mi? Pekala, o halde devam!
SuEXEC yapılandırması ve kurulumuna girişmeden önce biraz da gerçekleşmesini istediğiniz güvenlik modelinin ayrıntıları üzerinde duralım. Böylece, suEXEC’in içinde olup bitenleri ve sisteminizin güvenliği için alınacak önlemleri daha iyi anlayabilirsiniz.
suEXEC işlevselliği, Apache HTTP Sunucusu tarafından gerektiği takdirde artalanda çalıştırılan bir setuid programa dayanır. Bu program, bir CGI veya SSI betiğine bir HTTP isteği yapıldığı zaman, bu betiği, yöneticinin ana sunucunun aidiyetinde çalıştığı kullanıcıdan farklı olarak seçtiği bir kullanıcının aidiyetinde çalıştırmak için çağrılır. Böyle bir istek geldiğinde, Apache artalandaki setuid programına, HTTP isteği yapılan programın ismiyle beraber aidiyetinde çalışacağı kullanıcı ve grup kimliklerini de aktarır.
Artalanda çalıştırılan setuid program başarıyı ve başarısızlığı aşağıdaki süreci izleyerek saptar. Bunlardan herhangi biri başarısız olursa program başarısızlık durumunu günlüğe kaydeder ve bir hata vererek çıkar. Aksi takdirde çalışmaya devam eder.
Bu, setuid programı çalıştıran kullanıcının sistemin gerçek bir kullanıcısı olduğunudan emin olunmasını sağlar.
Apache’nin artalanda çağırdığı setuid program ancak yeterli sayıda argüman sağlandığı takdirde çalışacaktır. Argümanların sayısını ve sırasını Apache HTTP sunucusu bilir. Eğer setuid program yeterli sayıda argümanla çağrılmamışsa ya kendisinde bir değişiklik yapılmıştır ya da kurulu Apache çalıştırılabilirinin suEXEC ile ilgili kısmında yanlış giden bir şeyler vardır.
Sadece tek bir kullanıcı (Apache’nin aidiyetinde çalıştığı kullanıcı) bu programı çalıştırmaya yetkilidir.
Hedef CGI veya SSI programının dosya yolu '/' veya
'..' ile başlıyor mu? Buna izin verilmez. Hedef CGI veya SSI
programı suEXEC’in belge kök dizininde yer almalıdır (aşağıda
--with-suexec-docroot=DİZİN
seçeneğine
bakınız).
Hedef kullanıcı mevcut mu?
Hedef grup mevcut mu?
root
değil, değil mi?
Mevcut durumda, root
kullanıcısının
CGI/SSI programlarını çalıştırmasına izin verilmemektedir.
Asgari kullanıcı numarası yapılandırma sırasında belirtilir. Böylece CGI/SSI programlarını çalıştırmasına izin verilecek olası en düşük kullanıcı numarasını belirlemeniz mümkün kılınmıştır. Bu bazı “sistem” hesaplarını devreden çıkarmak için yararlıdır.
root
değil, değil mi?
Mevcut durumda, root
grubunun CGI/SSI
programlarını çalıştırmasına izin verilmemektedir.
Asgari grup numarası yapılandırma sırasında belirtilir. Böylece CGI/SSI programlarını çalıştırmasına izin verilecek olası en düşük grup numarasını belirlemeniz mümkün kılınmıştır. Bu bazı “sistem” hesaplarını devreden çıkarmak için yararlıdır.
Bu noktadan itibaren program setuid ve setgid çağrıları üzerinden hedef kullanıcı ve grubun aidiyetine geçer. Erişim grubu listesi de ayrıca kullanıcının üyesi olduğu tüm gruplara genişletilir.
Dizin mevcut değilse dosyaları da içeremez. Hedef dizine geçemiyorsak bu, dizin mevcut olmadığından olabilir.
İstek sunucunun normal bir bölümü için yapılmış
olsa da istenen dizin acaba suEXEC’in belge kök dizini altında mı?
Yani, istenen dizin, suEXEC’in aidiyetinde çalıştığı kullanıcının
ev dizini altında bulunan, UserDir
ile belirtilen dizinin altında mı? (suEXEC’in yapılandırma seçeneklerine
bakınız).
Başkaları da yazabilsin diye bir dizin açmıyoruz; dizin içeriğini sadece sahibi değiştirebilmelidir.
Mevcut değilse çalıştırılamaz.
Hedef CGI/SSI programının dosyasına sahibinden başka kimsenin bir şeyler yazmasını istemeyiz.
UID/GID‘i tekrar değiştirecek programlar çalıştırmayı istemeyiz.
Hedef kullanıcı dosyanın sahibi mi?
suEXEC, sürecin çalışacağı ortama güvenli bir program çalıştırma yolu sağlamaktan başka, yapılandırma sırasında oluşturulan güvenli ortam değişkenleri listesinde isimleri bulunan ortam değişkenlerinden başkasını aktarmayacaktır.
Burası suEXEC’in bitip CGI/SSI programının başladığı yerdir.
Bu süreç suEXEC güvenlik modelinin standart işlemlerini oluşturur. Biraz zorlayıcı ve CGI/SSI tasarımına yeni kurallar ve sınırlamalar getiriyor olsa da düşünülen güvenliği adım adım sağlayacak şekilde tasarlanmıştır.
Düzgün bir suEXEC yapılandırmasının hangi güvenlik risklerinden kurtulmayı sağladığı ve bu güvenlik modelinin sunucu yapılandırmasıyla ilgili sorumluluklarınızı nasıl sınırlayabildiği hakkında daha ayrıntılı bilgi edinmek için bu belgenin "Uyarılar ve Örnekler" bölümüne bakınız.
Eğlence başlıyor.
suEXEC yapılandırma seçenekleri
--enable-suexec
--enable-suexec
seçeneğinin yanında en azından bir tane
de --with-suexec-xxxxx
seçeneği belirtilmiş
olmalıdır.--with-suexec-bin=YOL
suexec
çalıştırılabilirinin
bulunduğu yer sunucu koduna yazılır. Bu seçenekle öntanımlı yol
değiştirilmiş olur. Örnek:--with-suexec-bin=/usr/sbin/suexec
--with-suexec-caller=KULLANICI
--with-suexec-userdir=DİZİN
Kullanıcıların ev dizinleri altında suEXEC’in erişmesine izin
verilen alt dizinin yerini tanımlar. Bu dizin altında suEXEC
kullanıcısı tarafından çalıştırılacak tüm programlar "güvenilir"
olmalıdır. Eğer “basit” bir UserDir
yönergesi kullanıyorsanız ( içinde “*”
bulunmayan), bunun aynı dizin olması gerekir. Eğer burada belirtilen
dizin, passwd
dosyasında kullanıcı için belirtilmiş
dizinin altında UserDir
yönergesinde belirtilen dizin olmadığı takdirde suEXEC işini
gerektiği gibi yapmayacaktır. Öntanımlı değer
public_html
’dir.
Eğer, sanal konaklarınızın herbiri farklı UserDir
yönergeleri içeriyorsa
burada belirtilecek dizinin üst dizininin hepsinde aynı olması
gerekir. Aksi takdirde, "~kullanıcı
"
istekleri düzgün çalışmayacaktır.
--with-suexec-docroot=DİZİN
UserDir
’lardan başka) suEXEC için
kullanılacak tek hiyerarşi olacaktır. Öntanımlı dizin sonuna
"/htdocs
" eklenmiş --datadir
dizinidir.
Yani, seçeneği "--datadir=/home/apache
" olarak
belirtmişseniz suEXEC çalıştırıcısı için belge kök dizini
"/home/apache/htdocs
" olur.--with-suexec-uidmin=UID
--with-suexec-gidmin=GID
--with-suexec-logfile=DOSYA
suexec_log
" olup yeri (--logfiledir
seçeneği ile belirtilen) günlük dosyaları dizinidir.--with-suexec-safepath=YOL
PATH
ortam değişkeninin değerini tanımlar.
"/usr/local/bin:/usr/bin:/bin
" öntanımlıdır.SuEXEC özelliğini --enable-suexec
seçeneği ile
etkinleştirdiyseniz make
komutunu verdiğinizde Apache
ile birlikte suexec
çalıştırılabilir dosyası da
derlenecektir.
Tüm bileşenler derlendikten sonra make install
komutunu
vererek kurulumu tamamlayabilirsiniz. suexec
çalıştırılabilir dosyası --sbindir
seçeneği ile
tanımlanan dizine kurulacaktır; öntanımlı yeri
/usr/local/apache2/bin/
dizinidir.
Kurulum adımında root yetkisine sahip
olmanız gerektiğini unutmayın. Çalıştırıcıya kullanıcı kimliğinin
atanabilmesi ve dosyanın sahibi olan kullanıcı kimliği ile
çalıştırılabilmesini mümkün kılan bitinin etkin kılınabilmesi için
kurulumun root
tarafından yapılması
önemlidir.
SuEXEC çalıştırıcısı kendini çalıştıran kullanıcının
configure
betiğine
--with-suexec-caller
seçeneği ile belirtilen kullanıcı
olup olmadığına bakacaksa da, bu sınamanın da bir sistem veya
kütüphane çağrısı ile istismar edilmiş olma ihtimali gözardı
edilmemelidir. Bunun meydana gelmesini önlemek için ve genelde
yapıldığı gibi dosyanın izinlerini suEXEC çalıştırıcısı sadece Apache
sunucusunun aidiyetinde çalıştığı kullanıcı tarafından çalıştırılacak
şekilde ayarlayınız.
Örneğin, sunucunuz şöyle yapılandırılmışsa:
User apache
Group apache-grup
Ve suexec
çalıştırılabilir de
/usr/local/apache2/bin/
dizinine kurulmuşsa şu komutları
vermelisiniz:
chgrp apache-grup /usr/local/apache2/bin/suexec
chmod 4750 /usr/local/apache2/bin/suexec
Böylece suEXEC çalıştırıcısını Apache’yi çalıştıran grubun üyelerinden başkasının çalıştıramayacağından emin olabilirsiniz.
Apache başlatıldığı sırada suexec
çalıştırıcısı
için --sbindir
seçeneği ile tanımlanan dizine bakar
(seçeneğin öntanımlı değeri
/usr/local/apache/sbin/suexec
’tir). Apache düzgün
yapılandırılmış bir suEXEC çalıştırıcısı bulduğu takdirde hata
günlüğüne şöyle bir ileti yazacaktır:
[notice] suEXEC mechanism enabled (wrapper: /dosya/yolu/suexec)
Sunucu başlatıldığında bu ileti yazılmazsa sunucu ya çalıştırıcı programı umduğu yerde bulamamıştır ya da dosyanın setuid biti root tarafından etkin kılınmamıştır.
SuEXEC mekanizmasını etkin kılmak istediğiniz sunucu çalışmaktaysa
sunucuyu önce öldürmeli sonra yeniden başlatmalısınız. Basit bir
HUP
veya USR1
sinyali ile yeniden başlamasını
sağlamak yeterli olmayacaktır.
SuEXEC mekanizmasını iptal etmek için ise suexec
dosyasını sildikten sonra Apache sunucusunu öldürüp yeniden
başlamalısınız.
CGI programlarına yapılan isteklerin suEXEC çalıştırıcısı tarafından
yerine getirilebilmesi için sanal konağın bir SuexecUserGroup
yönergesi içermesi veya
isteğin mod_userdir
tarafından işleme konulması
gerekir.
Sanal Konaklar:
SuEXEC çalıştırıcısını farklı
bir kullanıcı ile etkin kılmanın tek yolu VirtualHost
bölümleri içinde SuexecUserGroup
yönergesini
kullanmaktır. Bu yönergede ana sunucuyu çalıştıran kullanıcıdan farklı
bir kullanıcı belirterek ilgili sanal konak üzerinden CGI kaynakları
için yapılan tüm isteklerin belirtilen kullanıcı ve
grup tarafından çalıştırılması sağlanır. Bu yönergeyi
içermeyen sanal konaklar için ana sunucunun kullanıcısı
öntanımlıdır.
Kullanıcı dizinleri:
mod_userdir
tarafından işleme sokulan tüm istekler için
suEXEC çalıştırıcısı istek yapılan kullanıcı dizininin sahibinin
aidiyetinde çalıştırılacaktır. Bu özelliğin çalışması için tek
gereklilik, kullanıcının SuEXEC çalıştırıcısı için etkin kılınmış olması
ve çalıştırıcının yukarıdaki güvenlik sınamalarından
geçebilmesidir. Ayrıca, --with-suexec-userdir
derleme seçeneğinin açıklamasına da bakınız.
SuEXEC çalıştırıcısı yukarıda değinildiği gibi günlük bilgilerini
--with-suexec-logfile
seçeneği ile belirtilen dosyaya
yazacaktır. Çalıştırıcıyı doğru yapılandırarak kurduğunuzdan emin olmak
istiyorsanız, yolunda gitmeyen şeyler var mı diye bu günlük dosyasına
bakmayı ihmal etmeyin.
UYARI! Bu bölüm henüz bitmedi. Bu bölümün son hali için çevrimiçi belgelere bakınız.
SuEXEC çalıştırıcısından dolayı sunucu ayarlarına bazı sınırlamalar getiren bir kaç önemli nokta mevcuttur. SuEXEC ile ilgili hata bildiriminde bulunmadan önce bunlara bir göz atmalısınız.
Güvenlik ve verimlilik adına, tüm suEXEC isteklerinin sanal konaklar için üst düzey belge kökünün altındaki dosyalarla, kullanıcı dizinleri için ise üst düzey bireysel belge köklerinin altındaki dosyalarla sınırlı kalması gerekir. Örneğin, dört sanal konağınız varsa ve suEXEC çalıştırıcısının getirilerinden faydalanmak istiyorsanız, sanal konaklarınızın belge kök dizinlerini ana sunucunun belge kök dizininin altında kalacak şekilde yapılandırmanız gerekir (örnek yolda).
PATH
ortam değişkeni
Bunu değiştirmek tehlikeli olabilir. Bu değişkende tanımladığınız her yolun güvenli bir dizini işaret ettiğinden emin olmalısınız. Başkalarının oralarda bir truva atı çalıştırmasını istemiyorsanız buna çok dikkat ediniz.
Gerçekte ne yaptığınızı bilmiyorsanız bu, büyük bir sorun olabilir. Böyle şeyler yapmaktan mümkün olduğunca uzak durmalısınız.