[AlternC-dev] mpm-itk / Jessie / NFS

Retour à l'archive de la liste
Le site d'AlternC
Google Custom Search

Dominique Rousseau d.rousseau at nnx.com
Mer 1 Fév 16:31:17 CET 2017


Hello !

Je pose ca ici, si ca peut servir a quelqu'un d'autre...

Depuis AlternC 3.0 Apache utilise "mpm-itk", parceque ca permet de faire
tourner chaque site sur son uid, et que du coup ca cloisonne les sites
tout en évitant les problemes de droits sur les fichiers uploadés en web
vs ftp (entre autres).

Sur Debian/Jessie on a une version relativement récente de "mpm-itk",
dont le développement est toujours actif, et qui est devenu un module
modifiant le comportement du mpm "prefork", et ils ont ajouté
l'utilisant des "capabilities" noyau, pour réduire la quantité de code
fonctionnant en uid 0
Le problème que j'ai rencontré se présente lorsque les données des sites
à servir sont stockées sur NFS, les dites capabilities ne transitant pas
dans le protocole, on se retrouve avec des accès refusés quand Apache
parcourt les répertoires (à la recherche d'un .htacces !).
C'est meme indique sur le site ( http://mpm-itk.sesse.net/ ) :
« EnableCapabilities (Apache 2.4 or newer only): Drop most root
capabilities in the parent process, and instead run as the user given by
the User/Group directives with some extra capabilities (in particular
setuid). Somewhat more secure (especially when coupled with
LimitUIDRange above), but can cause problems when serving from
filesystems that do not honor capabilities, such as NFS. »

Le contournement "simple" que j'ai utilisé, c'est de simplement
recompiler le paquet source "mpm-itk" (qui donne le paquet binaire
"libapache2-mpm-itk") SANS avoir libcap-dev. En gros ca donne :

apt-get source libapache2-mpm-itk
aptitude build-dep libapache2-mpm-itk
aptitude purge libcap-dev:i386 

Et on construit le paquet comme ça, qu'on insalle ensuite manuellement.
(penser à faire un "hold" du paquet, pour éviter une éventuelle mise à
jour intempestive lors d'un prochain "dist-upgrade")


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 80000 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


Plus d'informations sur la liste de diffusion Dev