ERP & CRM in Apache VirtualHost mit suexec und php-fcgi

Question

Hallo Zusammen,

ich versuche ERP und CRM auf einem Debian 6 in einen Apache VirtualHost zu installieren. Inzwischen hat das aber mit installieren nichts mehr zu tun. Ich versuche es eher da reinzuprügeln ;)

Der VirtualHost basiert auf einem Template um u.a. auch Rails dort laufen zu lassen. Suexec sollte aktiviert sein um bei PHP die üblichen chmod, chown und chgrp - Spielereien zu sparen und natürlich auch um etwas mehr Sicherheit zu bieten.

Wenn ich suexec aktiviere geht CRM ohne Änderungen der Berechtigungen aber ERP nicht. Deaktiviere ich suexec geht ERP aber CRM nur mit den Berechtigungs-Änderungen.

Das Problem liegt in den Symlinks der *.pl - Dateien im ERP. Diesen haben 777 suexec erlaubt aber nur 755.

Damit bin ich aber auch schon mit meinem Latein am Ende. Hat irgendjemand hier auch nur einen Ansatz einer Lösung? Oder eine Idee was ich noch probieren könnte? Ich sträube mich ein wenig dieses Template für den VirtualHost zu verbiegen oder irgendwelche Berechtigungen dem Apache zu geben. Auch weil dadurch eine Pflege mit FTP erschwert wird.

... hoffend :(

Answer 1

Mit suexec hatte sich hier auch ein anderer User mit Problemen zu Wort gemeldet, ich meine aber, dass wir dafür keine Lösung gefunden hatten. Symlinks haben leider immer die Rechte 777, dagegen lässt sich nichts machen. Was du (unschönerweise) tun könntest, wäre sämtliche Symlinks gegen die Dateien auszutauschen, auf die sie zeigen -- oder aber gernen hard links.

Ungetestet:

#!/bin/bash
declare -A targets
for l in $(find -maxdepth 1 -type l) ; do
  targets[$l]=$(basename $(readlink --canonicalize $l))
done
for l in $(find -maxdepth 1 -type l) ; do
  rm $l
  ln ${targets[$l]} $l
done

Answer 2

Mittlerweile müsste man mit der AliasMatch Konfiguration [*] alle Symlinks löschen können.

Dann müssten noch zwei Dateien da sein:

admin.pl
dispatcher.fpl

Benenn die wie folgt um:

mv admin.pl dispatcher.pl 
mv dispatcher.fpl dispatcher.fcgi

und Deine Installation hat keinen einzigen Symlink mehr, und sollte funktionieren. Es kann aber sein, dass suexec noch die Include Pfade verändert, da müsste man dann ansetzen wenn es soweit ist.

[*] https://demo.kivitendo.de/doc/html/ch02s05.html#Apache-Konfiguration.FCGI

Answer 3

Danke für die Antworten,

ich habe jetzt die komplette Installation per FTP hochgeladen. Damit werden die Symlinks aufgelöst und jeweils eine Kopie des Targets angelegt.

Dann noch ein chmod 750 für *.pl und alles ist schick.

Das habe ich über ein PHP-Script gelöst.

Die Lösung hat für mich den Vorteil das dieses auch zukünftig ohne Klimmzüge und oder weiterführende Computerkenntnisse funktioniert. Per FTP hochladen und eine URL aufrufen kann auch die Sekretärin. Dabei muß niemand über die Konsole rauf und das womöglich noch als root bzw. ich spare mir den Aufwand einer chroot-Umgebung um einem Laien ein paar Steine in den Weg zu legen ;)