suEXECについて

さば

Apache suEXECでドキュメントに目を通すがねむい・・・
冒頭のところだけ読んで適当に解釈する。
suEXECを有効にするとCGIやSSIプログラムを呼び出すと何項目かのチェックを通して悪意ある行為を防ぐことが目的らしい。

  • セキュリティをあげるのが目的だが設定をミスるとセキュリティホールを作ることになるのでApacheグループではデフォルトでインストールしないようになっている。
  • suEXECを有効にすることでサーバ管理ユーザがそのプログラムの所有者情報をsuEXECに渡し、判定を待つ。
  • そしてそのユーザが本当にそのシステムのユーザであるか?などをsuEXEC wrapperがチェックし、

すべてのチェックを通過することではじめてプログラムが実行されることになる。

結論

ようするにCGIやSSIで実行されるプログラムが本当にそのWeb管理者の意思によるものかを厳重にチェックする。・・・ZZZ