SuEXEC Desteği

SuEXEC özelliği, Apache HTTP Sunucusu kullanıcılarına CGI ve SSI programlarını sunucunun aidiyetinde çalıştığı kullanıcıdan farklı bir kullanıcının aidiyetinde çalıştırma olanağı verir. Normalde, CGI ve SSI programlarını çalıştıranla sunucuyu çalıştıran aynı kullanıcıdır.

Gerektiği gibi kullanıldığında bu özellik, kullanıcılara CGI ve SSI programlarını çalıştırma ve geliştirmeye izin vermekle ortaya çıkan güvenlik risklerini azaltır. Bununla birlikte, suEXEC gerektiği gibi yapılandırılmadığı takdirde bazı sorunlara yol açabilir ve bilgisayar güvenliğinizde yeni delikler ortaya çıkmasına sebep olabilir. Güvenlikle ilgili mevcut sorunlarla başa çıkmada ve setuid root programları yönetmekte bilgi ve deneyim sahibi değilseniz suEXEC kullanmayı kesinlikle düşünmemenizi öneririz.

Başlamadan önce

Belgeye balıklama dalmadan önce, suexec'i kullanacağınız ortam ve kendiniz hakkında yapılmış çeşitli kabuller hakkında bilgi sahibi olmalısınız.

Öncelikle, üzerinde setuid va setgid işlemlerinin yapılabildiği Unix türevi bir işletim sistemi kullandığınızı varsayıyoruz. Tüm komut örnekleri buna dayanarak verilmiştir. Bu desteğe sahip başka platformlar varsa onlardaki yapılandırma burada anlattığımız yapılandırmadan farklı olabilir.

İkinci olarak, bilgisayarınızın güvenliği ve yönetimi ile ilgili bazı temel kavramları bildiğinizi kabul ediyoruz. Buna setuid/setgid işlemlerinin sisteminiz ve güvenlik seviyesi üzerindeki etkilerini bilmek dahildir.

Üçüncü olarak, suEXEC kodunun değiştirilmemiş bir sürümünü kullandığınızı varsayıyoruz. Tüm suEXEC kodu, geliştiricilerin yanında sayısız beta kullanıcısı tarafından dikkatle incelenmiş ve denenmiştir. Kodların hem basit hem de sağlam bir şekilde güvenli olması için gerekli tüm önlemler alınmıştır. Bu kodun değiştirilmesi beklenmedik sorunlara ve yeni güvenlik risklerine yol açabilir. Özellikle güvenlikle ilgili programlarda deneyimli değilseniz suEXEC kodunda kesinlikle bir değişiklik yapmamalısınız. Değişiklik yaparsanız kodlarınızı gözden geçirmek ve tartışmak üzere Apache HTTP Sunucusu geliştirme ekibi ile paylaşmanızı öneririz.

Dördüncü ve son olarak, Apache HTTP Sunucusu geliştirme ekibinin suEXEC’i öntanımlı httpd kurulumunun bir parçası yapmama kararından bahsetmek gerekir. Bunun sonucu olarak, suEXEC yapılandırması sistem yöneticisinin ayrıntılı bir incelemesini gerektirir. Gerekli incelemeden sonra yönetici tarafından suEXEC yapılandırma seçeneklerine karar verilip, normal yollardan sisteme kurulumu yapılır. Bu seçeneklerin belirlenmesi, suEXEC işlevselliğinin kullanımı sırasında sistem güvenliğini gerektiği gibi sağlamak için yönetici tarafından dikkatle saptanmayı gerektirir. Bu sürecin ayrıntılarının yöneticiye bırakılma sebebi, suEXEC kurulumunu, suEXEC’i dikkatle kullanacak yeterliliğe sahip olanlarla sınırlama beklentimizdir.

Hala bizimle misiniz? Evet mi? Pekala, o halde devam!

SuEXEC Güvenlik Modeli

SuEXEC yapılandırması ve kurulumuna girişmeden önce biraz da gerçekleşmesini istediğiniz güvenlik modelinin ayrıntıları üzerinde duralım. Böylece, suEXEC’in içinde olup bitenleri ve sisteminizin güvenliği için alınacak önlemleri daha iyi anlayabilirsiniz.

suEXEC işlevselliği, Apache HTTP Sunucusu tarafından gerektiği takdirde artalanda çalıştırılan bir setuid programa dayanır. Bu program, bir CGI veya SSI betiğine bir HTTP isteği yapıldığı zaman, bu betiği, yöneticinin ana sunucunun aidiyetinde çalıştığı kullanıcıdan farklı olarak seçtiği bir kullanıcının aidiyetinde çalıştırmak için çağrılır. Böyle bir istek geldiğinde, Apache httpd artalandaki setuid programına, HTTP isteği yapılan programın ismiyle beraber aidiyetinde çalışacağı kullanıcı ve grup kimliklerini de aktarır.

Artalanda çalıştırılan setuid program başarıyı ve başarısızlığı aşağıdaki süreci izleyerek saptar. Bunlardan herhangi biri başarısız olursa program başarısızlık durumunu günlüğe kaydeder ve bir hata vererek çıkar. Aksi takdirde çalışmaya devam eder.

  1. Setuid programı çalıştıran kullanıcı sistemin geçerli kullanıcılarından biri mi?

    Bu, setuid programı çalıştıran kullanıcının sistemin gerçek bir kullanıcısı olduğunudan emin olunmasını sağlar.

  2. Setuid program yeterli sayıda argümanla çağrılmış mı?

    Apache HTTP Sunucusunun artalanda çağırdığı setuid program ancak yeterli sayıda argüman sağlandığı takdirde çalışacaktır. Argümanların sayısını ve sırasını Apache HTTP sunucusu bilir. Eğer setuid program yeterli sayıda argümanla çağrılmamışsa ya kendisinde bir değişiklik yapılmıştır ya da kurulu Apache httpd çalıştırılabilirinin suEXEC ile ilgili kısmında yanlış giden bir şeyler vardır.

  3. Bu geçerli kullanıcının bu setuid programı çalıştırma yetkisi var mı?

    Sadece tek bir kullanıcı (Apache’nin aidiyetinde çalıştığı kullanıcı) bu programı çalıştırmaya yetkilidir.

  4. Hedef CGI veya SSI programı hiyerarşik olarak güvenliği bozacak bir dosya yolu üzerinde mi?

    Hedef CGI veya SSI programının dosya yolu '/' veya '..' ile başlıyor mu? Buna izin verilmez. Hedef CGI veya SSI programı suEXEC’in belge kök dizininde yer almalıdır (aşağıda --with-suexec-docroot=DİZİN seçeneğine bakınız).

  5. Hedef kullanıcı ismi geçerli mi?

    Hedef kullanıcı mevcut mu?

  6. Hedef grup ismi geçerli mi?

    Hedef grup mevcut mu?

  7. Hedef kullanıcı root değil, değil mi?

    Mevcut durumda, root kullanıcısının CGI/SSI programlarını çalıştırmasına izin verilmemektedir.

  8. Hedef kullanıcı kimliği asgari kullanıcı numarasından BÜYÜK mü?

    Asgari kullanıcı numarası yapılandırma sırasında belirtilir. Böylece CGI/SSI programlarını çalıştırmasına izin verilecek olası en düşük kullanıcı numarasını belirlemeniz mümkün kılınmıştır. Bu bazı “sistem” hesaplarını devreden çıkarmak için yararlıdır.

  9. Hedef grup root değil, değil mi?

    root grubunun CGI/SSI programlarını çalıştırmasına izin verilmemektedir.

  10. Hedef grup numarası asgari grup numarasından BÜYÜK mü?

    Asgari grup numarası yapılandırma sırasında belirtilir. Böylece CGI/SSI programlarını çalıştırmasına izin verilecek olası en düşük grup numarasını belirlemeniz mümkün kılınmıştır. Bu bazı “sistem” hesaplarını devreden çıkarmak için yararlıdır.

  11. Apache’nin artalanda çağırdığı setuid program hedef kullanıcı ve grubun aidiyetine geçebildi mi?

    Bu noktadan itibaren program setuid ve setgid çağrıları üzerinden hedef kullanıcı ve grubun aidiyetine geçer. Erişim grubu listesi de ayrıca kullanıcının üyesi olduğu tüm gruplara genişletilir.

  12. Hedef CGI/SSI programının bulunduğu dizine geçebildik mi?

    Dizin mevcut değilse dosyaları da içeremez. Hedef dizine geçemiyorsak bu, dizin mevcut olmadığından olabilir.

  13. Hedef dizin Apache için izin verilen yerlerden biri mi?

    İstek sunucunun normal bir bölümü için yapılmış olsa da istenen dizin acaba suEXEC’in belge kök dizini altında mı? Yani, istenen dizin, suEXEC’in aidiyetinde çalıştığı kullanıcının ev dizini altında bulunan, UserDir ile belirtilen dizinin altında mı? (suEXEC’in yapılandırma seçeneklerine bakınız).

  14. Hedef dizin başkaları tarafından yazılabilen bir dizin değil, değil mi?

    Başkaları da yazabilsin diye bir dizin açmıyoruz; dizin içeriğini sadece sahibi değiştirebilmelidir.

  15. Hedef CGI/SSI programı mevcut mu?

    Mevcut değilse çalıştırılamaz.

  16. Hedef CGI/SSI program dosyasına başkaları tarafından yazılamıyor, değil mi?

    Hedef CGI/SSI programının dosyasına sahibinden başka kimsenin bir şeyler yazmasını istemeyiz.

  17. Hedef CGI/SSI program setuid veya setgid değil, değil mi?

    UID/GID‘i tekrar değiştirecek programlar çalıştırmayı istemeyiz.

  18. Hedef kullanıcı/grup, programın kullanıcı/grubu ile aynı mı?

    Hedef kullanıcı dosyanın sahibi mi?

  19. İşlemlerin güvenle yapılabilmesi için süreç ortamını başarıyla temizleyebildik mi?

    suEXEC, sürecin çalışacağı ortama güvenli bir program çalıştırma yolu sağlamaktan başka, yapılandırma sırasında oluşturulan güvenli ortam değişkenleri listesinde isimleri bulunan ortam değişkenlerinden başkasını aktarmayacaktır.

  20. Hedef CGI/SSI programı haline gelip çalışabildik mi?

    Burası suEXEC’in bitip CGI/SSI programının başladığı yerdir.

Bu süreç suEXEC güvenlik modelinin standart işlemlerini oluşturur. Biraz zorlayıcı ve CGI/SSI tasarımına yeni kurallar ve sınırlamalar getiriyor olsa da düşünülen güvenliği adım adım sağlayacak şekilde tasarlanmıştır.

Düzgün bir suEXEC yapılandırmasının hangi güvenlik risklerinden kurtulmayı sağladığı ve bu güvenlik modelinin sunucu yapılandırmasıyla ilgili sorumluluklarınızı nasıl sınırlayabildiği hakkında daha ayrıntılı bilgi edinmek için bu belgenin "Uyarılar ve Örnekler" bölümüne bakınız.

suEXEC’in Yapılandırılması ve Kurulumu

Eğlence başlıyor.

suEXEC yapılandırma seçenekleri

--enable-suexec
Bu seçenek, hiçbir zaman öntanımlı olarak kurulmayan ve etkinleştirilmeyen suEXEC özelliğini etkin kılar. suEXEC özelliğini kullanma isteğinizi Apache’nin kabul edebilmesi için --enable-suexec seçeneğinin yanında en azından bir tane de --with-suexec-xxxxx seçeneği belirtilmiş olmalıdır.
--with-suexec-bin=YOL
Güvenlik sebebiyle suexec çalıştırılabilirinin bulunduğu yer sunucu koduna yazılır. Bu seçenekle öntanımlı yol değiştirilmiş olur. Örnek:
--with-suexec-bin=/usr/sbin/suexec
--with-suexec-caller=KULLANICI
Normalde httpd’nin aidiyetinde çalıştığı kullanıcıdır. Bu, suEXEC çalıştırıcısını çalıştırmasına izin verilen tek kullanıcıdır.
--with-suexec-userdir=DİZİN

Kullanıcıların ev dizinleri altında suEXEC’in erişmesine izin verilen alt dizinin yerini tanımlar. Bu dizin altında suEXEC kullanıcısı tarafından çalıştırılacak tüm programlar "güvenilir" olmalıdır. Eğer “basit” bir UserDir yönergesi kullanıyorsanız ( içinde “*” bulunmayan), bunun aynı dizin olması gerekir. Eğer burada belirtilen dizin, passwd dosyasında kullanıcı için belirtilmiş dizinin altında UserDir yönergesinde belirtilen dizin olmadığı takdirde suEXEC işini gerektiği gibi yapmayacaktır. Öntanımlı değer public_html’dir.

Eğer, sanal konaklarınızın herbiri farklı UserDir yönergeleri içeriyorsa burada belirtilecek dizinin üst dizininin hepsinde aynı olması gerekir. Aksi takdirde, "~kullanıcı" istekleri düzgün çalışmayacaktır.

--with-suexec-docroot=DİZİN
httpd için belge kök dizinini belirler. Bu, (UserDir’lardan başka) suEXEC için kullanılacak tek hiyerarşi olacaktır. Öntanımlı dizin sonuna "/htdocs" eklenmiş --datadir dizinidir. Yani, seçeneği "--datadir=/home/apache" olarak belirtmişseniz suEXEC çalıştırıcısı için belge kök dizini "/home/apache/htdocs" olur.
--with-suexec-uidmin=UID
suEXEC kullanıcısının kullanıcı kimliği olarak izin verilen en düşük değeri belirler. Çoğu sistemde bu ya 500’dür ya da 100; 100 öntanımlıdır.
--with-suexec-gidmin=GID
suEXEC kullanıcısının grup kimliği olarak izin verilen en düşük değeri belirler. Çoğu sistemde bu 100 olup, seçeneğin de öntanımlı değeridir.
--with-suexec-logfile=DOSYA
suEXEC hareketlerinin ve hatalarının kaydedileceği günlük dosyasının adını belirler (denetim ve hata ayıklama için kullanışlıdır). Öntanımlı günlük dosyası ismi "suexec_log" olup yeri (--logfiledir seçeneği ile belirtilen) günlük dosyaları dizinidir.
--with-suexec-safepath=YOL
CGI çalıştırılabilirlerine aktarılacak güvenilir PATH ortam değişkeninin değerini tanımlar. "/usr/local/bin:/usr/bin:/bin" öntanımlıdır.
SuEXEC çalıştırıcısının derlenmesi ve kurulumu

SuEXEC özelliğini --enable-suexec seçeneği ile etkinleştirdiyseniz make komutunu verdiğinizde httpd ile birlikte suexec çalıştırılabilir dosyası da derlenecektir.

Tüm bileşenler derlendikten sonra make install komutunu vererek kurulumu tamamlayabilirsiniz. suexec çalıştırılabilir dosyası --sbindir seçeneği ile tanımlanan dizine kurulacaktır; öntanımlı yeri /usr/local/apache2/bin/ dizinidir.

Kurulum adımında root yetkisine sahip olmanız gerektiğini unutmayın. Çalıştırıcıya kullanıcı kimliğinin atanabilmesi ve dosyanın sahibi olan kullanıcı kimliği ile çalıştırılabilmesini mümkün kılan bitinin etkin kılınabilmesi için kurulumun root tarafından yapılması önemlidir.

Paranoyak yetkilendirme

SuEXEC çalıştırıcısı kendini çalıştıran kullanıcının configure betiğine --with-suexec-caller seçeneği ile belirtilen kullanıcı olup olmadığına bakacaksa da, bu sınamanın da bir sistem veya kütüphane çağrısı ile istismar edilmiş olma ihtimali gözardı edilmemelidir. Bunun meydana gelmesini önlemek için ve genelde yapıldığı gibi dosyanın izinlerini suEXEC çalıştırıcısı sadece httpd'nin aidiyetinde çalıştığı grup tarafından çalıştırılacak şekilde ayarlayınız.

Örneğin, sunucunuz şöyle yapılandırılmışsa:

User apache
Group apache-grup

Ve suexec çalıştırılabilir de /usr/local/apache2/bin/ dizinine kurulmuşsa şu komutları vermelisiniz:

chgrp apache-grup /usr/local/apache2/bin/suexec
chmod 4750 /usr/local/apache2/bin/suexec

Böylece suEXEC çalıştırıcısını httpd’yi çalıştıran grubun üyelerinden başkasının çalıştıramayacağından emin olabilirsiniz.

suEXEC’in etkin kılınması ve iptal edilmesi

httpd başlatıldığı sırada suexec çalıştırıcısı için --sbindir seçeneği ile tanımlanan dizine bakar (seçeneğin öntanımlı değeri /usr/local/apache/sbin/suexec’tir). httpd düzgün yapılandırılmış bir suEXEC çalıştırıcısı bulduğu takdirde hata günlüğüne şöyle bir ileti yazacaktır:

[notice] suEXEC mechanism enabled (wrapper: /dosya/yolu/suexec)

Sunucu başlatıldığında bu ileti yazılmazsa sunucu ya çalıştırıcı programı umduğu yerde bulamamıştır ya da dosyanın setuid biti root tarafından etkin kılınmamıştır.

SuEXEC mekanizmasını etkin kılmak istediğiniz sunucu çalışmaktaysa sunucuyu önce öldürmeli sonra yeniden başlatmalısınız. Basit bir HUP veya USR1 sinyali ile yeniden başlamasını sağlamak yeterli olmayacaktır.

SuEXEC mekanizmasını iptal etmek için ise suexec dosyasını sildikten sonra httpd'yi öldürüp yeniden başlamalısınız.

SuEXEC’in kullanımı

CGI programlarına yapılan isteklerin suEXEC çalıştırıcısı tarafından yerine getirilebilmesi için sanal konağın bir SuexecUserGroup yönergesi içermesi veya isteğin mod_userdir tarafından işleme konulması gerekir.

Sanal Konaklar:
SuEXEC çalıştırıcısını farklı bir kullanıcı ile etkin kılmanın tek yolu VirtualHost bölümleri içinde SuexecUserGroup yönergesini kullanmaktır. Bu yönergede ana sunucuyu çalıştıran kullanıcıdan farklı bir kullanıcı belirterek ilgili sanal konak üzerinden CGI kaynakları için yapılan tüm isteklerin belirtilen kullanıcı ve grup tarafından çalıştırılması sağlanır. Bu yönergeyi içermeyen sanal konaklar için ana sunucunun kullanıcısı öntanımlıdır.

Kullanıcı dizinleri:
mod_userdir tarafından işleme sokulan tüm istekler için suEXEC çalıştırıcısı istek yapılan kullanıcı dizininin sahibinin aidiyetinde çalıştırılacaktır. Bu özelliğin çalışması için tek gereklilik, kullanıcının SuEXEC çalıştırıcısı için etkin kılınmış olması ve çalıştırıcının yukarıdaki güvenlik sınamalarından geçebilmesidir. Ayrıca, --with-suexec-userdir derleme seçeneğinin açıklamasına da bakınız.

SuEXEC ve hata ayıklama

SuEXEC çalıştırıcısı yukarıda değinildiği gibi günlük bilgilerini --with-suexec-logfile seçeneği ile belirtilen dosyaya yazacaktır. Çalıştırıcıyı doğru yapılandırarak kurduğunuzdan emin olmak istiyorsanız, yolunda gitmeyen şeyler var mı diye bu günlük dosyasına bakmayı ihmal etmeyin.

Uyarılar ve Örnekler

UYARI! Bu bölüm henüz bitmedi. Bu bölümün son hali için çevrimiçi belgelere bakınız.

SuEXEC çalıştırıcısından dolayı sunucu ayarlarına bazı sınırlamalar getiren bir kaç önemli nokta mevcuttur. SuEXEC ile ilgili hata bildiriminde bulunmadan önce bunlara bir göz atmalısınız.