Qu’est-ce que SuExec ?

SuExec est la fonctionnalité apache permettant d’executer les processus fils avec d’autres droits d’utilisateur/de groupe.

Comment savoir si mon installation apache dispose du mécanisme SuExec ?

Par défaut, sous gentoo, du tant que vous n’avez pas compilé apache avec le use flag no-suexec, cette fonctionnalité est disponible. Il est important de spécifier dans le fichier de configuration de démarrage d’apache /etc/conf.d/apache2 l’option -D SUEXEC ce qui peut être par exemple : APACHE2_OPTS="-D DEFAULT_VHOST -D INFO -D LANGUAGE -D MANUAL -D SUEXEC -D PHP5".

Pour vérifier si le mécanisme est actif lors du démarrage d’apache, vous trouverez dans le fichier /var/log/apache2/error.log quelque chose de similaire à suEXEC mechanism enabled (wrapper: /usr/sbin/suexec).

Spécifier les droits corrects sur le logiciel établissant le mécanisme

Il est important de changer les droits sur le wrapper suexec :

Mise en place du mécanisme SuExec pour un vhost

Commençons par créer un groupe auxquels appartiendront tous les utilisateurs suexec et également un utilisateur avec les droits restreints :

Pour changer l’utilisateur utilisé pour faire fonctionner les scripts cgi, il faut spécifier dans la configuration du vhost la directive SuexecUserGroup [1] suivie du nom d’utilisateur et du nom du groupe à utiliser.

Vous obtiendrez une configuration pour votre vhost similaire à ceci :

Il est bien sur nécessaire de modifier les droits des propriétaires des fichiers dans le répertoire cgi-bin :

chown -R webuser1:webusers /var/www/domain.tld/cgi-bin

Relancez apache (après avoir validé la configuration ;)) et hop, vos scripts cgi fonctionnent avec des droits différents.

Voici un exemple de ce que l’on peut voir niveau processus lors de l’execution d’un script cgi :

Nous voyons bien que le script cgi fonctionne avec l’uid 1003.

[1] http://httpd.apache.org/docs/2.2/mod/mod_suexec.html#suexecusergroup