suexec.xml.tr revision 4f32f36773e84a2ec9a930f85b44d31fc0c0c2cf
842ae4bd224140319ae7feec1872b93dfd491143fielding<!DOCTYPE manualpage SYSTEM "/style/manualpage.dtd">
842ae4bd224140319ae7feec1872b93dfd491143fielding<?xml-stylesheet type="text/xsl" href="/style/manual.tr.xsl"?>
842ae4bd224140319ae7feec1872b93dfd491143fielding<!-- English Revision: 698389:1038591 (outdated) -->
842ae4bd224140319ae7feec1872b93dfd491143fielding<!-- =====================================================
842ae4bd224140319ae7feec1872b93dfd491143fielding Translated by: Nilgün Belma Bugüner <nilgun belgeler.org>
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding Reviewed by: Orhan Berent <berent belgeler.org>
ce9621257ef9e54c1bbe5ad8a5f445a1f211c2dcnd========================================================== -->
ce9621257ef9e54c1bbe5ad8a5f445a1f211c2dcnd Licensed to the Apache Software Foundation (ASF) under one or more
ce9621257ef9e54c1bbe5ad8a5f445a1f211c2dcnd contributor license agreements. See the NOTICE file distributed with
ce9621257ef9e54c1bbe5ad8a5f445a1f211c2dcnd this work for additional information regarding copyright ownership.
ce9621257ef9e54c1bbe5ad8a5f445a1f211c2dcnd The ASF licenses this file to You under the Apache License, Version 2.0
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding (the "License"); you may not use this file except in compliance with
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding the License. You may obtain a copy of the License at
59b96ad34c087942eea06884c97d12c2796a977amturk Unless required by applicable law or agreed to in writing, software
c0a549c3f6e8edc87e921cf76fac95d04feba72bwrowe distributed under the License is distributed on an "AS IS" BASIS,
2555a6b5da21d61804f47084d8fcc98eb4acbc42wrowe WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
2555a6b5da21d61804f47084d8fcc98eb4acbc42wrowe See the License for the specific language governing permissions and
70535d6421eb979ac79d8f49d31cd94d75dd8b2fjorton limitations under the License.
2555a6b5da21d61804f47084d8fcc98eb4acbc42wrowe <p><strong>SuEXEC</strong> özelliği, Apache kullanıcılarına
1723d9ccdd3b647f5b7bae44cab9ab3eca7a4874dougm <strong>CGI</strong> ve <strong>SSI</strong> programlarını sunucunun
e9501b71b8a1e76384cb010b1e41e76a1e47aacctrawick aidiyetinde çalıştığı kullanıcıdan farklı bir kullanıcının aidiyetinde
e9501b71b8a1e76384cb010b1e41e76a1e47aacctrawick çalıştırma olanağı verir. Normalde, <strong>CGI</strong> ve
e9501b71b8a1e76384cb010b1e41e76a1e47aacctrawick <strong>SSI</strong> programlarını çalıştıranla sunucuyu çalıştıran
6335eb31f0f0ed54628a04ed32946360b8b77684minfrin aynı kullanıcıdır.</p>
7a3f81622e6b6995e0e879b1c0279ba68130b4b1jfclere <p>Gerektiği gibi kullanıldığında bu özellik, kullanıcılara
7a3f81622e6b6995e0e879b1c0279ba68130b4b1jfclere <strong>CGI</strong> ve <strong>SSI</strong> programlarını çalıştırma
7a3f81622e6b6995e0e879b1c0279ba68130b4b1jfclere ve geliştirmeye izin vermekle ortaya çıkan güvenlik risklerini azaltır.
7a3f81622e6b6995e0e879b1c0279ba68130b4b1jfclere Bununla birlikte, <strong>suEXEC</strong> gerektiği gibi
7a3f81622e6b6995e0e879b1c0279ba68130b4b1jfclere yapılandırılmadığı takdirde bazı sorunlara yol açabilir ve bilgisayar
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem güvenliğinizde yeni delikler ortaya çıkmasına sebep olabilir.
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem Güvenlikle ilgili mevcut sorunlarla başa çıkmada ve <em>setuid
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem root</em> programları yönetmekte bilgi ve deneyim sahibi değilseniz
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <strong>suEXEC</strong> kullanmayı kesinlikle düşünmemenizi
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem öneririz.</p>
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <p>Belgeye balıklama dalmadan önce, Apache Grubu ve bu belge ile ilgili
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem kabuller hakkında bilgi sahibi olmalısınız.</p>
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <p>Öncelikle, üzerinde <strong>setuid</strong> va <strong>setgid</strong>
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem işlemlerinin yapılabildiği Unix türevi bir işletim sistemi
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem kullandığınızı varsayıyoruz. Tüm komut örnekleri buna dayanarak
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem verilmiştir. Bu desteğe sahip başka platformlar varsa onlardaki
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem yapılandırma burada anlattığımız yapılandırmadan farklı olabilir.</p>
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <p>İkinci olarak, bilgisayarınızın güvenliği ve yönetimi ile ilgili bazı
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem temel kavramları bildiğinizi kabul ediyoruz. Buna
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <strong>setuid/setgid</strong> işlemlerinin sisteminiz ve güvenlik
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem seviyesi üzerindeki etkilerini bilmek dahildir.</p>
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <strong>değiştirilmemiş</strong> bir sürümünü kullandığınızı
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem varsayıyoruz. Tüm suEXEC kodu, geliştiricilerin yanında sayısız beta
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem kullanıcısı tarafından dikkatle incelenmiş ve denenmiştir. Kodların hem
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem basit hem de sağlam bir şekilde güvenli olması için gerekli tüm
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem önlemler alınmıştır. Bu kodun değiştirilmesi beklenmedik sorunlara ve
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem yeni güvenlik risklerine yol açabilir. Özellikle güvenlikle ilgili
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem programlarda deneyimli değilseniz suEXEC kodunda kesinlikle bir
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem değişiklik yapmamalısınız. Değişiklik yaparsanız kodlarınızı gözden
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem geçirmek ve tartışmak üzere Apache Grubu ile paylaşmanızı öneririz.</p>
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <p>Dördüncü ve son olarak, Apache Grubunun suEXEC’i öntanımlı Apache
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem kurulumunun bir parçası yapmama kararından bahsetmek gerekir. Bunun
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem sonucu olarak, suEXEC yapılandırması sistem yöneticisinin ayrıntılı bir
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem incelemesini gerektirir. Gerekli incelemeden sonra yönetici tarafından
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem suEXEC yapılandırma seçeneklerine karar verilip, normal yollardan
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem sisteme kurulumu yapılır. Bu seçeneklerin belirlenmesi, suEXEC
7a3f81622e6b6995e0e879b1c0279ba68130b4b1jfclere işlevselliğinin kullanımı sırasında sistem güvenliğini gerektiği gibi
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem sağlamak için yönetici tarafından dikkatle saptanmayı gerektirir. Bu
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem sürecin ayrıntılarının yöneticiye bırakılma sebebi, Apache Grubunun
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem suEXEC kurulumunu, suEXEC’i dikkatle kullanacak yeterliliğe sahip
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem olanlarla sınırlama beklentisidir.</p>
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <p>Hala bizimle misiniz? Evet mi? Pekala, o halde devam!</p>
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem<section id="model"><title>SuEXEC Güvenlik Modeli</title>
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <p>SuEXEC yapılandırması ve kurulumuna girişmeden önce biraz da
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem gerçekleşmesini istediğiniz güvenlik modelinin ayrıntıları üzerinde
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem duralım. Böylece, suEXEC’in içinde olup bitenleri ve sisteminizin
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem güvenliği için alınacak önlemleri daha iyi anlayabilirsiniz.</p>
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <p><strong>suEXEC</strong> işlevselliği, Apache HTTP Sunucusu tarafından
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem gerektiği takdirde artalanda çalıştırılan bir setuid programa dayanır.
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem Bu program, bir CGI veya SSI betiğine bir HTTP isteği yapıldığı zaman,
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem bu betiği, yöneticinin ana sunucunun aidiyetinde çalıştığı kullanıcıdan
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem farklı olarak seçtiği bir kullanıcının aidiyetinde çalıştırmak için
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem çağrılır. Böyle bir istek geldiğinde, Apache artalandaki setuid
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem programına, HTTP isteği yapılan programın ismiyle beraber aidiyetinde
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem çalışacağı kullanıcı ve grup kimliklerini de aktarır.</p>
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <p>Artalanda çalıştırılan setuid program başarıyı ve başarısızlığı
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem aşağıdaki süreci izleyerek saptar. Bunlardan herhangi biri başarısız
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem olursa program başarısızlık durumunu günlüğe kaydeder ve bir hata
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem vererek çıkar. Aksi takdirde çalışmaya devam eder.</p>
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding <strong>Setuid programı çalıştıran kullanıcı sistemin geçerli
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding kullanıcılarından biri mi?</strong>
2ceedfca3a2fdfdb5ff60ca17f030ce91f6331cbwrowe <p class="indent">Bu, setuid programı çalıştıran kullanıcının
2ceedfca3a2fdfdb5ff60ca17f030ce91f6331cbwrowe sistemin gerçek bir kullanıcısı olduğunudan emin olunmasını sağlar.
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding <strong>Setuid program yeterli sayıda argümanla çağrılmış mı?
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding <p class="indent">Apache’nin artalanda çağırdığı setuid program
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding ancak yeterli sayıda argüman sağlandığı takdirde çalışacaktır.
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding Argümanların sayısını ve sırasını Apache HTTP sunucusu bilir. Eğer
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe setuid program yeterli sayıda argümanla çağrılmamışsa ya
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe kendisinde bir değişiklik yapılmıştır ya da kurulu Apache
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe çalıştırılabilirinin suEXEC ile ilgili kısmında yanlış giden bir
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe şeyler vardır.</p>
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe <strong>Bu geçerli kullanıcının bu setuid programı çalıştırma
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe yetkisi var mı?</strong>
eee895b02dd7867622afd0a8a94f2efc7de9c618wrowe <p class="indent">Sadece tek bir kullanıcı (Apache’nin aidiyetinde
eee895b02dd7867622afd0a8a94f2efc7de9c618wrowe çalıştığı kullanıcı) bu programı çalıştırmaya yetkilidir.</p>
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe <strong>Hedef CGI veya SSI programı hiyerarşik olarak güvenliği
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe bozacak bir dosya yolu üzerinde mi?</strong>
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <p class="indent">Hedef CGI veya SSI programının dosya yolu '/' veya
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe '..' ile başlıyor mu? Buna izin verilmez. Hedef CGI veya SSI
9f1a88897168c3f1e5009acb585daf01e38a0299jim programı suEXEC’in belge kök dizininde yer almalıdır (aşağıda
9f1a88897168c3f1e5009acb585daf01e38a0299jim <code>--with-suexec-docroot=<em>DİZİN</em></code> seçeneğine
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk bakınız).</p>
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe <strong>Hedef kullanıcı <code>root</code> değil, değil mi?</strong>
0c888b8088644f3a39dcf1998e0304c289532057jim <p class="indent">Mevcut durumda, <code>root</code> kullanıcısının
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk CGI/SSI programlarını çalıştırmasına izin verilmemektedir.</p>
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe <strong>Hedef kullanıcı kimliği asgari kullanıcı numarasından
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk <p class="indent">Asgari kullanıcı numarası yapılandırma sırasında
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk belirtilir. Böylece CGI/SSI programlarını çalıştırmasına izin
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe verilecek olası en düşük kullanıcı numarasını belirlemeniz mümkün
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe kılınmıştır. Bu bazı “sistem” hesaplarını devreden çıkarmak için
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe yararlıdır.</p>
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk <strong>Hedef grup <code>root</code> değil, değil mi?</strong>
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe <p class="indent">Mevcut durumda, <code>root</code> grubunun CGI/SSI
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe programlarını çalıştırmasına izin verilmemektedir.</p>
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe <strong>Hedef grup numarası asgari grup numarasından
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk <p class="indent">Asgari grup numarası yapılandırma sırasında
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk belirtilir. Böylece CGI/SSI programlarını çalıştırmasına izin
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe verilecek olası en düşük grup numarasını belirlemeniz mümkün
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe kılınmıştır. Bu bazı “sistem” hesaplarını devreden çıkarmak için
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe yararlıdır.</p>
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <strong>Apache’nin artalanda çağırdığı setuid program hedef
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk kullanıcı ve grubun aidiyetine geçebildi mi?</strong>
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk <p class="indent">Bu noktadan itibaren program setuid ve setgid
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem çağrıları üzerinden hedef kullanıcı ve grubun aidiyetine geçer.
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem Erişim grubu listesi de ayrıca kullanıcının üyesi olduğu tüm
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem gruplara genişletilir.</p>
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe <strong>Hedef CGI/SSI programının bulunduğu dizine geçebildik mi?
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk <p class="indent">Dizin mevcut değilse dosyaları da içeremez. Hedef
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk dizine geçemiyorsak bu, dizin mevcut olmadığından olabilir.</p>
4c67ef499845a08771e81254ce6eb2324a160bc7wrowe <strong>Hedef dizin Apache için izin verilen yerlerden biri mi?
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe <p class="indent">İstek sunucunun normal bir bölümü için yapılmış
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe olsa da istenen dizin acaba suEXEC’in belge kök dizini altında mı?
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe Yani, istenen dizin, suEXEC’in aidiyetinde çalıştığı kullanıcının
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe ev dizini altında bulunan, <directive module="mod_userdir"
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe >UserDir</directive> ile belirtilen dizinin altında mı? (<a
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe href="#install">suEXEC’in yapılandırma seçeneklerine</a>
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe bakınız).</p>
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe <strong>Hedef dizin başkaları tarafından yazılabilen bir dizin değil,
1dac466bcc84f8ebf410016dcf2a4cd4312e8611wrowe değil mi?</strong>
41c38e78e8e5dc73544571cc2b749d40869e84fawrowe <p class="indent">Başkaları da yazabilsin diye bir dizin açmıyoruz;
41c38e78e8e5dc73544571cc2b749d40869e84fawrowe dizin içeriğini sadece sahibi değiştirebilmelidir.</p>
b842b65e0618c5535233b197f03dc917d184adb3jim <strong>Hedef CGI/SSI program dosyasına başkaları tarafından
b842b65e0618c5535233b197f03dc917d184adb3jim yazılamıyor, değil mi?</strong>
b842b65e0618c5535233b197f03dc917d184adb3jim <p class="indent">Hedef CGI/SSI programının dosyasına sahibinden
b842b65e0618c5535233b197f03dc917d184adb3jim başka kimsenin bir şeyler yazmasını istemeyiz.</p>
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk <strong>Hedef CGI/SSI program setuid veya setgid <em>değil</em>,
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk değil mi?</strong>
1d2ff7570139286b0f0d16f92187a16ed5932291mturk <p class="indent">UID/GID‘i tekrar değiştirecek programlar
eee895b02dd7867622afd0a8a94f2efc7de9c618wrowe çalıştırmayı istemeyiz.</p>
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk <strong>Hedef kullanıcı/grup, programın kullanıcı/grubu ile aynı mı?
eee895b02dd7867622afd0a8a94f2efc7de9c618wrowe <p class="indent">Hedef kullanıcı dosyanın sahibi mi?</p>
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk <strong>İşlemlerin güvenle yapılabilmesi için süreç ortamını
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk başarıyla temizleyebildik mi?</strong>
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk <p class="indent">suEXEC, sürecin çalışacağı ortama güvenli bir
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk program çalıştırma yolu sağlamaktan başka, yapılandırma sırasında
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk oluşturulan güvenli ortam değişkenleri listesinde isimleri bulunan
e8f95a682820a599fe41b22977010636be5c2717jim ortam değişkenlerinden başkasını aktarmayacaktır.</p>
e8f95a682820a599fe41b22977010636be5c2717jim <strong>Hedef CGI/SSI programı haline gelip çalışabildik mi?</strong>
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk <p class="indent">Burası suEXEC’in bitip CGI/SSI programının
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk başladığı yerdir.</p>
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk <p>Bu süreç suEXEC güvenlik modelinin standart işlemlerini oluşturur.
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk Biraz zorlayıcı ve CGI/SSI tasarımına yeni kurallar ve sınırlamalar
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk getiriyor olsa da düşünülen güvenliği adım adım sağlayacak şekilde
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk tasarlanmıştır.</p>
e8f95a682820a599fe41b22977010636be5c2717jim <p>Düzgün bir suEXEC yapılandırmasının hangi güvenlik risklerinden
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk kurtulmayı sağladığı ve bu güvenlik modelinin sunucu yapılandırmasıyla
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk ilgili sorumluluklarınızı nasıl sınırlayabildiği hakkında daha
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk ayrıntılı bilgi edinmek için bu belgenin <a
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk href="#jabberwock">"Uyarılar ve Örnekler"</a> bölümüne bakınız.</p>
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk<section id="install"><title>suEXEC’in Yapılandırılması ve Kurulumu</title>
7ce17736e4802a923eed275812647a7c3e9ad76ejim <p><strong>suEXEC yapılandırma seçenekleri</strong><br />
28fe44817329b1183f64e878c258962f90423a8dniq <dd>Bu seçenek, hiçbir zaman öntanımlı olarak kurulmayan ve
28fe44817329b1183f64e878c258962f90423a8dniq etkinleştirilmeyen suEXEC özelliğini etkin kılar. suEXEC özelliğini
28fe44817329b1183f64e878c258962f90423a8dniq kullanma isteğinizi Apache’nin kabul edebilmesi için
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk <code>--enable-suexec</code> seçeneğinin yanında en azından bir tane
7ce17736e4802a923eed275812647a7c3e9ad76ejim de <code>--with-suexec-xxxxx</code> seçeneği belirtilmiş
f73a8fabbdc4ec11c8b475e9f48539de0c4f82ebmturk olmalıdır.</dd>
5d392744e2077f71f34ce098ab49d2c0ddcf4ea3jim <dd>Güvenlik sebebiyle <code>suexec</code> çalıştırılabilirinin
07ac837c886b356dc96e83cf82fb348eb56406d9jim bulunduğu yer sunucu koduna yazılır. Bu seçenekle öntanımlı yol
5d392744e2077f71f34ce098ab49d2c0ddcf4ea3jim değiştirilmiş olur. Örnek:<br />
07ac837c886b356dc96e83cf82fb348eb56406d9jim <dt><code>--with-suexec-caller=<em>KULLANICI</em></code></dt>
5d392744e2077f71f34ce098ab49d2c0ddcf4ea3jim href="mod/mpm_common.html#user">kullanıcı</a>dır. Bu, bu programı
07ac837c886b356dc96e83cf82fb348eb56406d9jim çalıştırmasına izin verilen tek kullanıcıdır.</dd>
5d392744e2077f71f34ce098ab49d2c0ddcf4ea3jim <dt><code>--with-suexec-userdir=<em>DİZİN</em></code></dt>
5d392744e2077f71f34ce098ab49d2c0ddcf4ea3jim <dd><p>Kullanıcıların ev dizinleri altında suEXEC’in erişmesine izin
5d392744e2077f71f34ce098ab49d2c0ddcf4ea3jim verilen alt dizinin yerini tanımlar. Bu dizin altında suEXEC
07ac837c886b356dc96e83cf82fb348eb56406d9jim kullanıcısı tarafından çalıştırılacak tüm programlar "güvenilir"
5d392744e2077f71f34ce098ab49d2c0ddcf4ea3jim olmalıdır. Eğer “basit” bir <directive module="mod_userdir"
07ac837c886b356dc96e83cf82fb348eb56406d9jim >UserDir</directive> yönergesi kullanıyorsanız ( içinde “*”
5d392744e2077f71f34ce098ab49d2c0ddcf4ea3jim bulunmayan), bunun aynı dizin olması gerekir. Eğer burada belirtilen
188befd3a49e3a126bd801d7dc5a7f6e63ad4332mturk dizin, <code>passwd</code> dosyasında kullanıcı için belirtilmiş
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem dizinin altında <directive module="mod_userdir">UserDir</directive>
188befd3a49e3a126bd801d7dc5a7f6e63ad4332mturk yönergesinde belirtilen dizin olmadığı takdirde suEXEC işini
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem gerektiği gibi yapmayacaktır. Öntanımlı değer
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <p>Eğer, sanal konaklarınızın herbiri farklı <directive
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem module="mod_userdir">UserDir</directive> yönergeleri içeriyorsa
188befd3a49e3a126bd801d7dc5a7f6e63ad4332mturk burada belirtilecek dizinin üst dizininin hepsinde aynı olması
188befd3a49e3a126bd801d7dc5a7f6e63ad4332mturk gerekir. <strong>Aksi takdirde, "~<em><code>kullanıcı</code></em>"
f185ce14f5dd540ae54659f764989c017c619485jim <dt><code>--with-suexec-docroot=<em>DİZİN</em></code></dt>
f185ce14f5dd540ae54659f764989c017c619485jim <dd>Apache için belge kök dizinini belirler. Bu, (<directive
f185ce14f5dd540ae54659f764989c017c619485jim module="mod_userdir" >UserDir</directive>’lardan başka) suEXEC için
f921cd430a2ea23fcaedfdfc7439163f63c8472arpluem kullanılacak tek hiyerarşi olacaktır. Öntanımlı dizin sonuna
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem "<code>/htdocs</code>" eklenmiş <code>--datadir</code> dizinidir.
f921cd430a2ea23fcaedfdfc7439163f63c8472arpluem Yani, seçeneği "<code>--datadir=/home/apache</code>" olarak
f921cd430a2ea23fcaedfdfc7439163f63c8472arpluem belirtmişseniz suEXEC çalıştırıcısı için belge kök dizini
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <dt><code>--with-suexec-uidmin=<em>UID</em></code></dt>
90f18725dbb9bdfba94da22aa60f94dfb759a8ferpluem <dd>suEXEC kullanıcısının kullanıcı kimliği olarak izin verilen en
f921cd430a2ea23fcaedfdfc7439163f63c8472arpluem düşük değeri belirler. Çoğu sistemde bu ya 500’dür ya da 100; 100
f921cd430a2ea23fcaedfdfc7439163f63c8472arpluem öntanımlıdır.</dd>
65efbf0826de766a90d745cc44427bfa4e2447b6mturk <dt><code>--with-suexec-gidmin=<em>GID</em></code></dt>
4415d997ac73262e513c0a571bd5be4f609040bawrowe <dd>suEXEC kullanıcısının grup kimliği olarak izin verilen en düşük
4415d997ac73262e513c0a571bd5be4f609040bawrowe değeri belirler. Çoğu sistemde bu 100 olup, seçeneğin de öntanımlı
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe değeridir.</dd>
1febae173a82bc2a71c3c0ba4105cf674000791bjim <dt><code>--with-suexec-logfile=<em>DOSYA</em></code></dt>
4415d997ac73262e513c0a571bd5be4f609040bawrowe <dd>suEXEC hareketlerinin ve hatalarının kaydedileceği günlük
4415d997ac73262e513c0a571bd5be4f609040bawrowe dosyasının adını belirler (denetim ve hata ayıklama için
4415d997ac73262e513c0a571bd5be4f609040bawrowe kullanışlıdır). Öntanımlı günlük dosyası ismi
4415d997ac73262e513c0a571bd5be4f609040bawrowe "<code>suexec_log</code>" olup yeri (<code>--logfiledir</code>
4415d997ac73262e513c0a571bd5be4f609040bawrowe seçeneği ile belirtilen) günlük dosyaları dizinidir.</dd>
c3dc78855363fa6e8ecfc2bb8e2927efcd31d31djfclere <dt><code>--with-suexec-safepath=<em>YOL</em></code></dt>
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk <dd>CGI çalıştırılabilirlerine aktarılacak güvenilir <code>PATH</code>
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk ortam değişkeninin değerini tanımlar.
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk "<code>/usr/local/bin:/usr/bin:/bin</code>" öntanımlıdır.</dd>
c3dc78855363fa6e8ecfc2bb8e2927efcd31d31djfclere <title>SuEXEC çalıştırıcısının derlenmesi ve kurulumu</title>
c3dc78855363fa6e8ecfc2bb8e2927efcd31d31djfclere <p>SuEXEC özelliğini <code>--enable-suexec</code> seçeneği ile
4415d997ac73262e513c0a571bd5be4f609040bawrowe etkinleştirdiyseniz <code>make</code> komutunu verdiğinizde Apache
4415d997ac73262e513c0a571bd5be4f609040bawrowe ile birlikte <code>suexec</code> çalıştırılabilir dosyası da
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk derlenecektir.</p>
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk <p>Tüm bileşenler derlendikten sonra <code>make install</code> komutunu
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk vererek kurulumu tamamlayabilirsiniz. <code>suexec</code>
4415d997ac73262e513c0a571bd5be4f609040bawrowe çalıştırılabilir dosyası <code>--sbindir</code> seçeneği ile
4415d997ac73262e513c0a571bd5be4f609040bawrowe tanımlanan dizine kurulacaktır; öntanımlı yeri
4415d997ac73262e513c0a571bd5be4f609040bawrowe <p>Kurulum adımında <strong><em>root yetkisine</em></strong> sahip
4415d997ac73262e513c0a571bd5be4f609040bawrowe olmanız gerektiğini unutmayın. Çalıştırıcıya kullanıcı kimliğinin
4415d997ac73262e513c0a571bd5be4f609040bawrowe atanabilmesi ve dosyanın sahibi olan kullanıcı kimliği ile
4415d997ac73262e513c0a571bd5be4f609040bawrowe çalıştırılabilmesini mümkün kılan bitinin etkin kılınabilmesi için
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk kurulumun <code><em>root</em></code> tarafından yapılması
01261c7d9578aadd1891f94c8ee03f32ba51db3dmturk önemlidir.</p>
eee895b02dd7867622afd0a8a94f2efc7de9c618wrowe <p>SuEXEC çalıştırıcısı kendini çalıştıran kullanıcının
4415d997ac73262e513c0a571bd5be4f609040bawrowe <code>--with-suexec-caller</code> seçeneği ile belirtilen kullanıcı
00b70ae978854b5eb51722cbeda99c9067b5faf2mturk olup olmadığına bakacaksa da, bu sınamanın da bir sistem veya
00b70ae978854b5eb51722cbeda99c9067b5faf2mturk kütüphane çağrısı ile istismar edilmiş olma ihtimali gözardı
00b70ae978854b5eb51722cbeda99c9067b5faf2mturk edilmemelidir. Bunun meydana gelmesini önlemek için ve genelde
00b70ae978854b5eb51722cbeda99c9067b5faf2mturk yapıldığı gibi dosyanın izinlerini suEXEC çalıştırıcısı sadece Apache
00b70ae978854b5eb51722cbeda99c9067b5faf2mturk sunucusunun aidiyetinde çalıştığı kullanıcı tarafından çalıştırılacak
00b70ae978854b5eb51722cbeda99c9067b5faf2mturk şekilde ayarlayınız.</p>
9e3209bc06ddf32f23e4b254faa45914bc323cc9jim User apache<br />
c332befc1519a1016d8de07608f0b859e6fab580jim Group apache-grup<br />
c332befc1519a1016d8de07608f0b859e6fab580jim <code>/usr/local/apache2/bin/</code> dizinine kurulmuşsa şu komutları
1febae173a82bc2a71c3c0ba4105cf674000791bjim vermelisiniz:</p>
ff4ec92f5bb8d43b3ba1979ccda94f07961bf323jim </example>
ff4ec92f5bb8d43b3ba1979ccda94f07961bf323jim <p>Böylece suEXEC çalıştırıcısını Apache’yi çalıştıran grubun
ff4ec92f5bb8d43b3ba1979ccda94f07961bf323jim üyelerinden başkasının çalıştıramayacağından emin olabilirsiniz.</p>
ff4ec92f5bb8d43b3ba1979ccda94f07961bf323jim </section>
ff4ec92f5bb8d43b3ba1979ccda94f07961bf323jim <title>suEXEC’in etkin kılınması ve iptal edilmesi</title>
4415d997ac73262e513c0a571bd5be4f609040bawrowe <p>Apache başlatıldığı sırada <program>suexec</program> çalıştırıcısı
65efbf0826de766a90d745cc44427bfa4e2447b6mturk için <code>--sbindir</code> seçeneği ile tanımlanan dizine bakar
4415d997ac73262e513c0a571bd5be4f609040bawrowe (seçeneğin öntanımlı değeri
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe <code>/usr/local/apache/sbin/suexec</code>’tir). Apache düzgün
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe yapılandırılmış bir suEXEC çalıştırıcısı bulduğu takdirde hata
38fd849bd99e2765ee633b6dc576b5f17acdc455wrowe günlüğüne şöyle bir ileti yazacaktır:</p>
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding [notice] suEXEC mechanism enabled (wrapper: <var>/dosya/yolu/suexec</var>)
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding <p>Sunucu başlatıldığında bu ileti yazılmazsa sunucu ya çalıştırıcı
00211b036b78699ace57a6d800a52e6c2d57652fnd programı umduğu yerde bulamamıştır ya da dosyanın <em>setuid</em> biti
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard <p>SuEXEC mekanizmasını etkin kılmak istediğiniz sunucu çalışmaktaysa
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard sunucuyu önce öldürmeli sonra yeniden başlatmalısınız. Basit bir
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard <code>HUP</code> veya <code>USR1</code> sinyali ile yeniden başlamasını
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard sağlamak yeterli olmayacaktır.</p>
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard <p>SuEXEC mekanizmasını iptal etmek için ise <program>suexec</program>
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard dosyasını sildikten sonra Apache sunucusunu öldürüp yeniden
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard başlamalısınız.</p>
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard<section id="usage"><title>SuEXEC’in kullanımı</title>
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard <p>CGI programlarına yapılan isteklerin suEXEC çalıştırıcısı tarafından
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard yerine getirilebilmesi için sanal konağın bir <directive
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard module="mod_suexec">SuexecUserGroup</directive> yönergesi içermesi veya
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding isteğin <module>mod_userdir</module> tarafından işleme konulması
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding gerekir.</p>
00211b036b78699ace57a6d800a52e6c2d57652fnd <p><strong>Sanal Konaklar:</strong><br />SuEXEC çalıştırıcısını farklı
00211b036b78699ace57a6d800a52e6c2d57652fnd bir kullanıcı ile etkin kılmanın tek yolu <directive
00211b036b78699ace57a6d800a52e6c2d57652fnd module="core">VirtualHost</directive> bölümleri içinde <directive
00211b036b78699ace57a6d800a52e6c2d57652fnd module="mod_suexec">SuexecUserGroup</directive> yönergesini
00211b036b78699ace57a6d800a52e6c2d57652fnd kullanmaktır. Bu yönergede ana sunucuyu çalıştıran kullanıcıdan farklı
00211b036b78699ace57a6d800a52e6c2d57652fnd bir kullanıcı belirterek ilgili sanal konak üzerinden CGI kaynakları
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding için yapılan tüm isteklerin belirtilen <em>kullanıcı</em> ve
50b2d068ddf98cf75622a0020cd143d379d1b235jfclere <em>grup</em> tarafından çalıştırılması sağlanır. Bu yönergeyi
50b2d068ddf98cf75622a0020cd143d379d1b235jfclere içermeyen sanal konaklar için ana sunucunun kullanıcısı
50b2d068ddf98cf75622a0020cd143d379d1b235jfclere öntanımlıdır.</p>
50b2d068ddf98cf75622a0020cd143d379d1b235jfclere <module>mod_userdir</module> tarafından işleme sokulan tüm istekler için
50b2d068ddf98cf75622a0020cd143d379d1b235jfclere suEXEC çalıştırıcısı istek yapılan kullanıcı dizininin sahibinin
00211b036b78699ace57a6d800a52e6c2d57652fnd aidiyetinde çalıştırılacaktır. Bu özelliğin çalışması için tek
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding gereklilik, kullanıcının SuEXEC çalıştırıcısı için etkin kılınmış olması
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard ve çalıştırıcının yukarıdaki <a href="#model">güvenlik sınamalarından</a>
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding geçebilmesidir. Ayrıca, <code>--with-suexec-userdir</code> <a
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding href="#install">derleme</a> seçeneğinin açıklamasına da bakınız.</p>
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding<section id="debug"><title>SuEXEC ve hata ayıklama</title>
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding <p>SuEXEC çalıştırıcısı yukarıda değinildiği gibi günlük bilgilerini
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding <code>--with-suexec-logfile</code> seçeneği ile belirtilen dosyaya
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding yazacaktır. Çalıştırıcıyı doğru yapılandırarak kurduğunuzdan emin olmak
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding istiyorsanız, yolunda gitmeyen şeyler var mı diye bu günlük dosyasına
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding bakmayı ihmal etmeyin.</p>
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding <p><strong>UYARI!</strong> Bu bölüm henüz bitmedi. Bu bölümün son hali
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding href="http://httpd.apache.org/docs/&httpd.docs;/suexec.html">çevrimiçi
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding <p>SuEXEC çalıştırıcısından dolayı sunucu ayarlarına bazı sınırlamalar
33cb45dc8c5106018b7c2f6ae42478b109423e0eniq getiren bir kaç önemli nokta mevcuttur. SuEXEC ile ilgili hata
a812b025d139f465a31c76fc02ed162ed5271b03nd bildiriminde bulunmadan önce bunlara bir göz atmalısınız.</p>
16d38ac65d7e54cd44eeda7b23f84ee68b35094ewrowe <li><strong>suEXEC ile ilgili önemli noktalar</strong></li>
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard <li>Hiyerarşik sınırlamalar
7b6ba9c468f26bdb3492d5e8cb79628a3b04e8c8wrowe <p class="indent">Güvenlik ve verimlilik adına, tüm suEXEC
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard isteklerinin sanal konaklar için üst düzey belge kökünün altındaki
e8f95a682820a599fe41b22977010636be5c2717jim dosyalarla, kullanıcı dizinleri için ise üst düzey bireysel belge
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard köklerinin altındaki dosyalarla sınırlı kalması gerekir. Örneğin,
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard dört sanal konağınız varsa ve suEXEC çalıştırıcısının
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard getirilerinden faydalanmak istiyorsanız, sanal konaklarınızın belge
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard kök dizinlerini ana sunucunun belge kök dizininin altında kalacak
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard şekilde yapılandırmanız gerekir (örnek yolda).</p>
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard <p class="indent">Bunu değiştirmek tehlikeli olabilir. Bu değişkende
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard tanımladığınız her yolun <strong>güvenli</strong> bir dizini işaret
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard ettiğinden emin olmalısınız. Başkalarının oralarda bir truva atı
e6366481b8fe06a24337f0b30b7da66cf64d6062stoddard çalıştırmasını istemiyorsanız buna çok dikkat ediniz.</p>
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding <li>SuEXEC kodunda değişiklik
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding <p class="indent">Gerçekte ne yaptığınızı bilmiyorsanız bu,
0f081398cf0eef8cc7c66a535d450110a92dc8aefielding <strong>büyük bir sorun</strong> olabilir. Böyle şeyler yapmaktan
e99dfd55d29a7b4209b814efc7270d0b74ccee74niq mümkün olduğunca uzak durmalısınız.</p>
e99dfd55d29a7b4209b814efc7270d0b74ccee74niq</manualpage>