Suexec

Suexec это механизм в Apache, используемый для запуска скриптов и CGI-приложений с -правами и идентификационными данными пользователя.

suEXEC позволяет запускать скрипты от имени владельца сайта и соответственно создавать/менять файлы, принадлежащие ему.

Обязательные условия при заведении новых клиентов

Общие

  1. Пользователей для веба заводить только в соответствующую группу, например webusers. Эта группа указана в файле /etc/ftpchroot, чтобы по фтп не могли подняться выше своей домашней папки. Кому надо, выставлять квоты командой:
  2. edquota -u username

  3. Домашние папки клиентов должны принадлежать им и группе webusers, права на запись должны быть только у владельца, но не у группы и тем более не у всех.

Для suEXEC

  1. Домашние папки пользователей должны быть только в каталоге '/usr/local/apache/htdocs'. Т. к. только для скриптов из этой папки (рекурсивно) действует suEXEC.
  2. И скрипты, и папка cgi-bin должны принадлежать клиенту.
  3. При настройке виртуального хоста в Апаче, кроме обычных, указать параметры:
  4. User user_name
    Group webusers

    Например:

    User pupkin
    Group webusers
    DocumentRoot /usr/local/apache/htdocs/pupkin
    ServerName pupkin.elcat.kg
  5. Логи, касающиеся suEXEC, пишутся в файл '/usr/local/apache/logs/suexec.log'.