[AlternC-dev] mpm-itk / Jessie / NFS

Retour à l'archive de la liste
Le site d'AlternC
Google Custom Search

Remi remi+tech at b6.be
Mer 1 Fév 16:45:52 CET 2017


On Wed, 1 Feb 2017, Dominique Rousseau wrote:

|Hello !
|
|Je pose ca ici, si ca peut servir a quelqu'un d'autre...
|
|Depuis AlternC 3.0 Apache utilise "mpm-itk", parceque ca permet de faire
|tourner chaque site sur son uid, et que du coup ca cloisonne les sites
|tout en évitant les problemes de droits sur les fichiers uploadés en web
|vs ftp (entre autres).
|
|Sur Debian/Jessie on a une version relativement récente de "mpm-itk",
|dont le développement est toujours actif, et qui est devenu un module
|modifiant le comportement du mpm "prefork", et ils ont ajouté
|l'utilisant des "capabilities" noyau, pour réduire la quantité de code
|fonctionnant en uid 0
|Le problème que j'ai rencontré se présente lorsque les données des sites
|à servir sont stockées sur NFS, les dites capabilities ne transitant pas
|dans le protocole, on se retrouve avec des accès refusés quand Apache
|parcourt les répertoires (à la recherche d'un .htacces !).
|C'est meme indique sur le site ( http://mpm-itk.sesse.net/ ) :
|« EnableCapabilities (Apache 2.4 or newer only): Drop most root
|capabilities in the parent process, and instead run as the user given by
|the User/Group directives with some extra capabilities (in particular
|setuid). Somewhat more secure (especially when coupled with
|LimitUIDRange above), but can cause problems when serving from
|filesystems that do not honor capabilities, such as NFS. »
|
|Le contournement "simple" que j'ai utilisé, c'est de simplement
|recompiler le paquet source "mpm-itk" (qui donne le paquet binaire
|"libapache2-mpm-itk") SANS avoir libcap-dev. En gros ca donne :
|
|apt-get source libapache2-mpm-itk
|aptitude build-dep libapache2-mpm-itk
|aptitude purge libcap-dev:i386 
|
|Et on construit le paquet comme ça, qu'on insalle ensuite manuellement.
|(penser à faire un "hold" du paquet, pour éviter une éventuelle mise à
|jour intempestive lors d'un prochain "dist-upgrade")

Salut,

Le problème était déjà censé être résolu normalement?
https://github.com/AlternC/AlternC/commit/3a3168c69f21d892d10ca557ef5046c98868802f

Voir ticket lié:
https://github.com/AlternC/AlternC/issues/104

Remi


Plus d'informations sur la liste de diffusion Dev