[Zope-it] Setuid

Giorgio Andreoletti giorgio.andreoletti@mentelocale.it
Tue, 11 Mar 2003 07:38:02 +0100 

At 00.12 11/03/2003, you wrote:
>Salve a tutti ho installato zope-2.6.0_1 su una freebsd 4.7 stable ma ho=20
>dei problemi a farlo avviare.

buona la scelta di freebsd !

>Se lancio zope da root con

brrr... hai un sistema che eccelle per la sua stabilit=E0 e sicurezza, e=20
lanci zope come utente root ? =E8 come comprare una ferrari e farla tingere=
=20
gialla a pois viola ! ok, i gusti son gusti ....

>su-2.05b# ./start
>ricevo questo errore SystemExit: A user was not specified to setuid to;=20
>fix this to start as root (see doc/SETUID.txt)

hai letto questo documento ? che diceva ?

>Ho provato anche a lanciarlo con l opzione -u sempre da root
>
>su-2.05b# ./start -u slupz
>
>SystemExit: /usr/local/www/Zope/var is not owned by root, fix this to=20
>start as root (see doc/SETUID.txt)

questo =E8 pi=F9 semplice : la directory non =E8 di propriet=E0 di root, e=
 la cosa=20
non piace a zope, visto che l'utente che lancia il demone deve possedere=20
tutto l'albero.

Ti do questo consiglio : crea un gruppo "zope", e quindi un utente "zope"=20
che sia membro solo del gruppo "zope".
assicurati che zope sia down (mi sembra che sia scontato, visto che non=20
riesci a farlo partire!)
Da root, dai questo comando :      chown -R zope.zope /usr/local/www/Zope

ora, ogni volta che vuoi far partire zope, fallo partire con i privilegi=20
dell'utente zope : in questo modo, oltre a preservare la sicurezza del=20
sistema, eviti che da zope si possano fare dei casini (volontari o=20
involontari) a livello di sistema.
quindi, per lanciarlo:

su zope -c /usr/local/www/Zope/start &

in questo modo ti levi di mezzo ogni grana, e se un domani vorrai=20
installare un'altra versione di zope in parallelo a quella che hai adesso,=
=20
assegnandole un altro utente sai gi=E0 che la nuova non potr=E0 in nessun=
 modo=20
andare a danneggiare la vecchia....

Comunque, di norma =E8 buona regola fare in modo che ogni demone giri con i=
=20
diritti di un utente dedicato (postgres, ad esempio, si rifiuta in tronco=20
di partire come root, e se non sbaglio anche qmail e molti altri)

facci sapere se ha funzionato !

ciao
Giorgio


=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D
Giorgio Andreoletti - mentelocale S.r.l.
responsabile hardware e networking
responsabile sviluppo web
www.mentelocale.it
giorgio.andreoletti@mentelocale.it
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=20