linux-l: merkwürdiges NFS Rechte - Problemchen

[Steffen Dettmer]

* JSC wrote on Thu, Apr 19, 2001 at 18:51 +0200:
> der apache ist bloed. m.e. prueft er die rechte selbst gegen eine
> interne liste, die mit initgroups/getgroups erstellt wird. 

Ka, hast Du schon mal erwähnt, aber das ist eben "das andere"
Problem...

> ich weiss nicht gegen welche bugs in welchem os das schuetzt.

Müßte man auf ner Apache-Liste erfragen. Na, man müßte immer
viel...

> 1.) stimmt der user ?
> 2.) ist der user in der group ?
> 3.) duerfen others?

Sind das Prüfungen, die Apache macht? Hab mir die Sourcen noch
nicht angetan. Egal, in dem Fall hier ist's das nicht, und führt
auch sicherlich nicht nach dem Öffnen zu einem SIGBUS!

> du siehst, die frage "in wieviel gruppen ist der apache" stellt sich 
> nicht.

Hier sowieso nicht :) Aber im Ernst, so richtig clever macht der
Apache das mit den Gruppen nicht. Möchte nicht wissen, was
passiert, wenn man mal einen NFS-Server benutzt, der ACLs kann
oder so. Na ja, SuExec kann ja auch kein PHP, vielleicht erwarte
ich zuviel ;)

> mach mal n patch fuer'n apache ;-) 

Ja, gib mir 2 Wochen Zeit, dann fange ich sofort an ;)

> ich denke eine laengere gruppen-
> liste (pseudocode: [yp]cat group|grep apache > liste) sollte es
> bringen und nicht so aufwendig sein, wie dem apache den ordentlichen
> umgang mit files beizubringen (zuviele stellen im code).

Frage mich immernoch, was das überhaupt bringt. Kann man das
nicht ganz rausnehmen? Besser schlechte Performance als gute
Fehler, oder?

> den patch dann bitte in die liste. ich brauch den naemlich auch,
> dringend.

Mach Du mal. Ich brauch den auch. Poste den am besten in die
Liste ;)

> > > hat suse auch einen nscd?
> > 
> > Yep. Guter Tip. Muß mal gucken, ob der an ist, und den mal
> > abtöten...
> > 
> ich kenn dich doch. du installierst so'n kram manchmal ;-)

Ich fange immer erst an, wenn sshd oben ist. Wenn man eine Kiste
vor dem Konfigurieren schon gesehen hat, ist man nur unnütz
voreingenommen ;)

> > Bleibt die Frage, warum "open" dann klappt.
> > 
> siehe oben.

Glaube nicht, daß der Apache zwischen open und mmap was prüft,
und im Fehlerfall gegen sich selbst ein DoS macht (via SIGBUS),
und das gleiche mit dem nächsten Child erneut probiert. Und das
erklärt auch nicht, warum es manchmal klappt. Nee, das sind
wirklich zwei verschiedene Bugs.

> > Habe übrigens "fh_verify failure" gefunden. Laut NFS FAQ (jaja,
>  
> ach deswegen hab ich die jetzt auch. meine sun will ueber nfs
> (read-only) auf'm cdrom attribute schreiben. 

Ja, ich weiß, ist langsam, sowas ;) Ist auch wirklich unheimlich
wichtig. Genauso wichtig wie write locks auf r/o filesystemen :)

> na viel erfolg!  ich liebe doppelte sicherungen ...

Ja, und vor allem SUN sowieso :)

> > Das Gruppen-Problem sollte auch zu einem EPERM führen, nicht zu
> > einem SIGBUS.
> > 
> sicher das du nicht den ns-fasttrack von netscape am laufen hast?

Nee, hab diesmal einfach ein RPM benutzt. Ist immer so fummelig,
ständig zu updaten und die ganzen Module zu bauen. Hab auch nie
ein RPM gebaut und so. Na, so nehme ich die fertigen SuSE RPMS -
die haben auch die Bugs gleich mit drin...

Weitere Ideen? Ich mache morgen - je nach Zeit - nochmal ein
strace, und poste das hier mal auszugsweise.

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.