TOMOYO

Fork

[tomoyo-users 724] lighttpdでの、シェルスクリプトCGIのポリシーについて

Hiroshi Shinji hiros****@gmail*****
2010年 3月 2日 (火) 15:19:17 JST

• 前の記事 [tomoyo-users 723] Fwd: [GIT] Security subsystem changes for 2.6.34
• 次の記事 [tomoyo-users 725] Re: lighttpd での、シェルスクリプト CGI のポリシーについて
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]

宍道です。

lighttpd で シェルスクリプトで記述したCGIを動作させた場合、
上手く権限分割が出来ずに困っております。

lighttpd では、execve() で CGI を起動していますが、
シェルスクリプトで記述した、例えば以下のような2つのCGI

1. /var/www/cgi-bin/test1.cgi
#!/bin/sh
/bin/foo

2. /var/www/cgi-bin/test2.cgi
#!/bin/sh
/bin/bar

を実行した場合に、生成されるドメインは、

    /usr/sbin/lighttpd
        /bin/sh
            /bin/foo
            /bin/bar

となり、CGIごとのアクセス範囲の区別が出来ません。

これは、execve() でシェルスクリプトを実行する時に
    /bin/sh <CGIファイル>
として、/bin/sh が cgi ファイルを読み込む形になるためですが、

こういった場合に、CGIごとにアクセス範囲を上手く切り分けることは
可能でしょうか？

＃熊猫先生の以前のメール（プログラムの実行を伴わないドメイン遷移について）で
＃説明しておられた方法で、可能でしょうか？

よろしくお願いします。


-- 
宍道 洋
hiros****@gmail*****
http://d.hatena.ne.jp/hshinji/

• 前の記事 [tomoyo-users 723] Fwd: [GIT] Security subsystem changes for 2.6.34
• 次の記事 [tomoyo-users 725] Re: lighttpd での、シェルスクリプト CGI のポリシーについて
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]