Компоновка Apache
Для компоновки Apache вам, вероятно, придется изменить ряд параметров. Путь, указанный в ключе --with-apache, должен указывать на каталог, содержащий исходный код Apache необходимой версии. Кроме того, если необходимо использовать еще не установленную версию OpenSSL, укажите необходимость размещения ее дерева компоновки в ключе --with-ssl. Ключи --server-uid и --server-gid используются для указания пользователей или групп, которые могут запускать web-сервер. По умолчанию Apache подчиняется учетной записи nobody (никто). Однако мноще программы, настройки которых позволяют сбрасывать привилегии, также по умолчанию подчиняются учетной записи nobody. Если в конце концов вы примете значения по умолчанию для всех программ, то эта учетная запись станет самой привилегированной. Поэтому рекомендуется создать отдельную учетную запись для каждой программы, которая имеет такую возможность.
Остальные параметры предназначены для настройки suEXEC. Для обеспечения suEXEC-функциональности при выполнении сценариев пользователя Apache использует программу-оболочку SUID. Перед тем как разрешить выполнение программы эта оболочка выполняет ряд проверок. Одним из проверяемых элементов является UID вызывающего процесса. Если он не соответствует учетной записи, указанной в ключе --suexec-caller, то выполнение пользовательского сценария прерывается. Поскольку suEXEC-оболочка вызывается web-сервером, этот параметр должен иметь то же значение, что и --server-uid. Кроме того, поскольку наиболее привилегированные учетные записи и группы системы обычно имеют UID и GID меньше определенного значения, то suEXEC-оболочка проверит: не меньше ли этого порога UID или GID вызывающего процесса. Для того чтобы это работало, необходимо указать соответствующее значение системы. В данном примере Apache и modssl компонуются на системе Red Hat, в которой UID и GID обычных пользователей и групп начинаются со значения 500. В дополнение к этим проверкам suEXEC выполняет множество других проверок: доступен ли сценарий для записи только его владельцу, не является ли владелец root-пользователем, не является ли сценарий SUID или SGID.