1 <?xml version="1.0" encoding="UTF-8" ?>
2 <!DOCTYPE manualpage SYSTEM "./style/manualpage.dtd">
3 <?xml-stylesheet type="text/xsl" href="./style/manual.tr.xsl"?>
4 <!-- English Revision: 1038591:1673945 (outdated) -->
5 <!-- =====================================================
6 Translated by: Nilgün Belma Bugüner <nilgun belgeler.org>
7 Reviewed by: Orhan Berent <berent belgeler.org>
8 ========================================================== -->
11 Licensed to the Apache Software Foundation (ASF) under one or more
12 contributor license agreements. See the NOTICE file distributed with
13 this work for additional information regarding copyright ownership.
14 The ASF licenses this file to You under the Apache License, Version 2.0
15 (the "License"); you may not use this file except in compliance with
16 the License. You may obtain a copy of the License at
18 http://www.apache.org/licenses/LICENSE-2.0
20 Unless required by applicable law or agreed to in writing, software
21 distributed under the License is distributed on an "AS IS" BASIS,
22 WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
23 See the License for the specific language governing permissions and
24 limitations under the License.
27 <manualpage metafile="suexec.xml.meta">
29 <title>SuEXEC Desteği</title>
32 <p><strong>SuEXEC</strong> özelliği, Apache HTTP Sunucusu kullanıcılarına
33 <strong>CGI</strong> ve <strong>SSI</strong> programlarını sunucunun
34 aidiyetinde çalıştığı kullanıcıdan farklı bir kullanıcının aidiyetinde
35 çalıştırma olanağı verir. Normalde, <strong>CGI</strong> ve
36 <strong>SSI</strong> programlarını çalıştıranla sunucuyu çalıştıran
37 aynı kullanıcıdır.</p>
39 <p>Gerektiği gibi kullanıldığında bu özellik, kullanıcılara
40 <strong>CGI</strong> ve <strong>SSI</strong> programlarını çalıştırma
41 ve geliştirmeye izin vermekle ortaya çıkan güvenlik risklerini azaltır.
42 Bununla birlikte, <strong>suEXEC</strong> gerektiği gibi
43 yapılandırılmadığı takdirde bazı sorunlara yol açabilir ve bilgisayar
44 güvenliğinizde yeni delikler ortaya çıkmasına sebep olabilir.
45 Güvenlikle ilgili mevcut sorunlarla başa çıkmada ve <em>setuid
46 root</em> programları yönetmekte bilgi ve deneyim sahibi değilseniz
47 <strong>suEXEC</strong> kullanmayı kesinlikle düşünmemenizi
51 <section id="before"><title>Başlamadan önce</title>
53 <p>Belgeye balıklama dalmadan önce, suexec'i kullanacağınız ortam ve
54 kendiniz hakkında yapılmış çeşitli kabuller hakkında bilgi sahibi
57 <p>Öncelikle, üzerinde <strong>setuid</strong> va <strong>setgid</strong>
58 işlemlerinin yapılabildiği Unix türevi bir işletim sistemi
59 kullandığınızı varsayıyoruz. Tüm komut örnekleri buna dayanarak
60 verilmiştir. Bu desteğe sahip başka platformlar varsa onlardaki
61 yapılandırma burada anlattığımız yapılandırmadan farklı olabilir.</p>
63 <p>İkinci olarak, bilgisayarınızın güvenliği ve yönetimi ile ilgili bazı
64 temel kavramları bildiğinizi kabul ediyoruz. Buna
65 <strong>setuid/setgid</strong> işlemlerinin sisteminiz ve güvenlik
66 seviyesi üzerindeki etkilerini bilmek dahildir.</p>
68 <p>Üçüncü olarak, <strong>suEXEC</strong> kodunun
69 <strong>değiştirilmemiş</strong> bir sürümünü kullandığınızı
70 varsayıyoruz. Tüm suEXEC kodu, geliştiricilerin yanında sayısız beta
71 kullanıcısı tarafından dikkatle incelenmiş ve denenmiştir. Kodların hem
72 basit hem de sağlam bir şekilde güvenli olması için gerekli tüm
73 önlemler alınmıştır. Bu kodun değiştirilmesi beklenmedik sorunlara ve
74 yeni güvenlik risklerine yol açabilir. Özellikle güvenlikle ilgili
75 programlarda deneyimli değilseniz suEXEC kodunda kesinlikle bir
76 değişiklik yapmamalısınız. Değişiklik yaparsanız kodlarınızı gözden
77 geçirmek ve tartışmak üzere Apache HTTP Sunucusu geliştirme ekibi ile
78 paylaşmanızı öneririz.</p>
80 <p>Dördüncü ve son olarak, Apache HTTP Sunucusu geliştirme ekibinin
81 suEXEC’i öntanımlı httpd kurulumunun bir parçası yapmama kararından
82 bahsetmek gerekir. Bunun sonucu olarak, suEXEC yapılandırması sistem
83 yöneticisinin ayrıntılı bir incelemesini gerektirir. Gerekli incelemeden
84 sonra yönetici tarafından suEXEC yapılandırma seçeneklerine karar
85 verilip, normal yollardan sisteme kurulumu yapılır. Bu seçeneklerin
86 belirlenmesi, suEXEC işlevselliğinin kullanımı sırasında sistem
87 güvenliğini gerektiği gibi sağlamak için yönetici tarafından dikkatle
88 saptanmayı gerektirir. Bu sürecin ayrıntılarının yöneticiye bırakılma
89 sebebi, suEXEC kurulumunu, suEXEC’i dikkatle kullanacak yeterliliğe sahip
90 olanlarla sınırlama beklentimizdir.</p>
92 <p>Hala bizimle misiniz? Evet mi? Pekala, o halde devam!</p>
95 <section id="model"><title>SuEXEC Güvenlik Modeli</title>
97 <p>SuEXEC yapılandırması ve kurulumuna girişmeden önce biraz da
98 gerçekleşmesini istediğiniz güvenlik modelinin ayrıntıları üzerinde
99 duralım. Böylece, suEXEC’in içinde olup bitenleri ve sisteminizin
100 güvenliği için alınacak önlemleri daha iyi anlayabilirsiniz.</p>
102 <p><strong>suEXEC</strong> işlevselliği, Apache HTTP Sunucusu tarafından
103 gerektiği takdirde artalanda çalıştırılan bir setuid programa dayanır.
104 Bu program, bir CGI veya SSI betiğine bir HTTP isteği yapıldığı zaman,
105 bu betiği, yöneticinin ana sunucunun aidiyetinde çalıştığı kullanıcıdan
106 farklı olarak seçtiği bir kullanıcının aidiyetinde çalıştırmak için
107 çağrılır. Böyle bir istek geldiğinde, Apache httpd artalandaki setuid
108 programına, HTTP isteği yapılan programın ismiyle beraber aidiyetinde
109 çalışacağı kullanıcı ve grup kimliklerini de aktarır.</p>
111 <p>Artalanda çalıştırılan setuid program başarıyı ve başarısızlığı
112 aşağıdaki süreci izleyerek saptar. Bunlardan herhangi biri başarısız
113 olursa program başarısızlık durumunu günlüğe kaydeder ve bir hata
114 vererek çıkar. Aksi takdirde çalışmaya devam eder.</p>
118 <strong>Setuid programı çalıştıran kullanıcı sistemin geçerli
119 kullanıcılarından biri mi?</strong>
121 <p class="indent">Bu, setuid programı çalıştıran kullanıcının
122 sistemin gerçek bir kullanıcısı olduğunudan emin olunmasını sağlar.
127 <strong>Setuid program yeterli sayıda argümanla çağrılmış mı?
130 <p class="indent">Apache HTTP Sunucusunun artalanda çağırdığı
131 setuid program ancak yeterli sayıda argüman sağlandığı takdirde
132 çalışacaktır. Argümanların sayısını ve sırasını Apache HTTP sunucusu
133 bilir. Eğer setuid program yeterli sayıda argümanla çağrılmamışsa
134 ya kendisinde bir değişiklik yapılmıştır ya da kurulu Apache httpd
135 çalıştırılabilirinin suEXEC ile ilgili kısmında yanlış giden bir
140 <strong>Bu geçerli kullanıcının bu setuid programı çalıştırma
141 yetkisi var mı?</strong>
143 <p class="indent">Sadece tek bir kullanıcı (Apache’nin aidiyetinde
144 çalıştığı kullanıcı) bu programı çalıştırmaya yetkilidir.</p>
148 <strong>Hedef CGI veya SSI programı hiyerarşik olarak güvenliği
149 bozacak bir dosya yolu üzerinde mi?</strong>
151 <p class="indent">Hedef CGI veya SSI programının dosya yolu '/' veya
152 '..' ile başlıyor mu? Buna izin verilmez. Hedef CGI veya SSI
153 programı suEXEC’in belge kök dizininde yer almalıdır (aşağıda
154 <code>--with-suexec-docroot=<em>DİZİN</em></code> seçeneğine
159 <strong>Hedef kullanıcı ismi geçerli mi?</strong>
161 <p class="indent">Hedef kullanıcı mevcut mu?</p>
165 <strong>Hedef grup ismi geçerli mi?</strong>
167 <p class="indent">Hedef grup mevcut mu?</p>
171 <strong>Hedef kullanıcı <code>root</code> değil, değil mi?</strong>
173 <p class="indent">Mevcut durumda, <code>root</code> kullanıcısının
174 CGI/SSI programlarını çalıştırmasına izin verilmemektedir.</p>
178 <strong>Hedef kullanıcı kimliği asgari kullanıcı numarasından
179 <em>BÜYÜK</em> mü?</strong>
181 <p class="indent">Asgari kullanıcı numarası yapılandırma sırasında
182 belirtilir. Böylece CGI/SSI programlarını çalıştırmasına izin
183 verilecek olası en düşük kullanıcı numarasını belirlemeniz mümkün
184 kılınmıştır. Bu bazı “sistem” hesaplarını devreden çıkarmak için
189 <strong>Hedef grup <code>root</code> değil, değil mi?</strong>
191 <p class="indent"><code>root</code> grubunun CGI/SSI
192 programlarını çalıştırmasına izin verilmemektedir.</p>
196 <strong>Hedef grup numarası asgari grup numarasından
197 <em>BÜYÜK</em> mü?</strong>
199 <p class="indent">Asgari grup numarası yapılandırma sırasında
200 belirtilir. Böylece CGI/SSI programlarını çalıştırmasına izin
201 verilecek olası en düşük grup numarasını belirlemeniz mümkün
202 kılınmıştır. Bu bazı “sistem” hesaplarını devreden çıkarmak için
207 <strong>Apache’nin artalanda çağırdığı setuid program hedef
208 kullanıcı ve grubun aidiyetine geçebildi mi?</strong>
210 <p class="indent">Bu noktadan itibaren program setuid ve setgid
211 çağrıları üzerinden hedef kullanıcı ve grubun aidiyetine geçer.
212 Erişim grubu listesi de ayrıca kullanıcının üyesi olduğu tüm
213 gruplara genişletilir.</p>
217 <strong>Hedef CGI/SSI programının bulunduğu dizine geçebildik mi?
220 <p class="indent">Dizin mevcut değilse dosyaları da içeremez. Hedef
221 dizine geçemiyorsak bu, dizin mevcut olmadığından olabilir.</p>
225 <strong>Hedef dizin Apache için izin verilen yerlerden biri mi?
228 <p class="indent">İstek sunucunun normal bir bölümü için yapılmış
229 olsa da istenen dizin acaba suEXEC’in belge kök dizini altında mı?
230 Yani, istenen dizin, suEXEC’in aidiyetinde çalıştığı kullanıcının
231 ev dizini altında bulunan, <directive module="mod_userdir"
232 >UserDir</directive> ile belirtilen dizinin altında mı? (<a
233 href="#install">suEXEC’in yapılandırma seçeneklerine</a>
238 <strong>Hedef dizin başkaları tarafından yazılabilen bir dizin değil,
241 <p class="indent">Başkaları da yazabilsin diye bir dizin açmıyoruz;
242 dizin içeriğini sadece sahibi değiştirebilmelidir.</p>
246 <strong>Hedef CGI/SSI programı mevcut mu?</strong>
248 <p class="indent">Mevcut değilse çalıştırılamaz.</p>
252 <strong>Hedef CGI/SSI program dosyasına başkaları tarafından
253 yazılamıyor, değil mi?</strong>
255 <p class="indent">Hedef CGI/SSI programının dosyasına sahibinden
256 başka kimsenin bir şeyler yazmasını istemeyiz.</p>
260 <strong>Hedef CGI/SSI program setuid veya setgid <em>değil</em>,
263 <p class="indent">UID/GID‘i tekrar değiştirecek programlar
264 çalıştırmayı istemeyiz.</p>
268 <strong>Hedef kullanıcı/grup, programın kullanıcı/grubu ile aynı mı?
271 <p class="indent">Hedef kullanıcı dosyanın sahibi mi?</p>
275 <strong>İşlemlerin güvenle yapılabilmesi için süreç ortamını
276 başarıyla temizleyebildik mi?</strong>
278 <p class="indent">suEXEC, sürecin çalışacağı ortama güvenli bir
279 program çalıştırma yolu sağlamaktan başka, yapılandırma sırasında
280 oluşturulan güvenli ortam değişkenleri listesinde isimleri bulunan
281 ortam değişkenlerinden başkasını aktarmayacaktır.</p>
285 <strong>Hedef CGI/SSI programı haline gelip çalışabildik mi?</strong>
287 <p class="indent">Burası suEXEC’in bitip CGI/SSI programının
288 başladığı yerdir.</p>
292 <p>Bu süreç suEXEC güvenlik modelinin standart işlemlerini oluşturur.
293 Biraz zorlayıcı ve CGI/SSI tasarımına yeni kurallar ve sınırlamalar
294 getiriyor olsa da düşünülen güvenliği adım adım sağlayacak şekilde
297 <p>Düzgün bir suEXEC yapılandırmasının hangi güvenlik risklerinden
298 kurtulmayı sağladığı ve bu güvenlik modelinin sunucu yapılandırmasıyla
299 ilgili sorumluluklarınızı nasıl sınırlayabildiği hakkında daha
300 ayrıntılı bilgi edinmek için bu belgenin <a
301 href="#jabberwock">"Uyarılar ve Örnekler"</a> bölümüne bakınız.</p>
304 <section id="install"><title>suEXEC’in Yapılandırılması ve Kurulumu</title>
306 <p>Eğlence başlıyor.</p>
308 <p><strong>suEXEC yapılandırma seçenekleri</strong><br />
312 <dt><code>--enable-suexec</code></dt>
314 <dd>Bu seçenek, hiçbir zaman öntanımlı olarak kurulmayan ve
315 etkinleştirilmeyen suEXEC özelliğini etkin kılar. suEXEC özelliğini
316 kullanma isteğinizi Apache’nin kabul edebilmesi için
317 <code>--enable-suexec</code> seçeneğinin yanında en azından bir tane
318 de <code>--with-suexec-xxxxx</code> seçeneği belirtilmiş
321 <dt><code>--with-suexec-bin=<em>YOL</em></code></dt>
323 <dd>Güvenlik sebebiyle <code>suexec</code> çalıştırılabilirinin
324 bulunduğu yer sunucu koduna yazılır. Bu seçenekle öntanımlı yol
325 değiştirilmiş olur. Örnek:<br />
326 <code>--with-suexec-bin=/usr/sbin/suexec</code></dd>
328 <dt><code>--with-suexec-caller=<em>KULLANICI</em></code></dt>
330 <dd>Normalde httpd’nin aidiyetinde çalıştığı <a
331 href="mod/mpm_common.html#user">kullanıcı</a>dır. Bu, suEXEC
332 çalıştırıcısını çalıştırmasına izin verilen tek kullanıcıdır.</dd>
334 <dt><code>--with-suexec-userdir=<em>DİZİN</em></code></dt>
336 <dd><p>Kullanıcıların ev dizinleri altında suEXEC’in erişmesine izin
337 verilen alt dizinin yerini tanımlar. Bu dizin altında suEXEC
338 kullanıcısı tarafından çalıştırılacak tüm programlar "güvenilir"
339 olmalıdır. Eğer “basit” bir <directive module="mod_userdir"
340 >UserDir</directive> yönergesi kullanıyorsanız ( içinde “*”
341 bulunmayan), bunun aynı dizin olması gerekir. Eğer burada belirtilen
342 dizin, <code>passwd</code> dosyasında kullanıcı için belirtilmiş
343 dizinin altında <directive module="mod_userdir">UserDir</directive>
344 yönergesinde belirtilen dizin olmadığı takdirde suEXEC işini
345 gerektiği gibi yapmayacaktır. Öntanımlı değer
346 <code>public_html</code>’dir.</p>
348 <p>Eğer, sanal konaklarınızın herbiri farklı <directive
349 module="mod_userdir">UserDir</directive> yönergeleri içeriyorsa
350 burada belirtilecek dizinin üst dizininin hepsinde aynı olması
351 gerekir. <strong>Aksi takdirde, "~<em><code>kullanıcı</code></em>"
352 istekleri düzgün çalışmayacaktır.</strong></p></dd>
354 <dt><code>--with-suexec-docroot=<em>DİZİN</em></code></dt>
356 <dd>httpd için belge kök dizinini belirler. Bu, (<directive
357 module="mod_userdir" >UserDir</directive>’lardan başka) suEXEC için
358 kullanılacak tek hiyerarşi olacaktır. Öntanımlı dizin sonuna
359 "<code>/htdocs</code>" eklenmiş <code>--datadir</code> dizinidir.
360 Yani, seçeneği "<code>--datadir=/home/apache</code>" olarak
361 belirtmişseniz suEXEC çalıştırıcısı için belge kök dizini
362 "<code>/home/apache/htdocs</code>" olur.</dd>
364 <dt><code>--with-suexec-uidmin=<em>UID</em></code></dt>
366 <dd>suEXEC kullanıcısının kullanıcı kimliği olarak izin verilen en
367 düşük değeri belirler. Çoğu sistemde bu ya 500’dür ya da 100; 100
370 <dt><code>--with-suexec-gidmin=<em>GID</em></code></dt>
372 <dd>suEXEC kullanıcısının grup kimliği olarak izin verilen en düşük
373 değeri belirler. Çoğu sistemde bu 100 olup, seçeneğin de öntanımlı
376 <dt><code>--with-suexec-logfile=<em>DOSYA</em></code></dt>
378 <dd>suEXEC hareketlerinin ve hatalarının kaydedileceği günlük
379 dosyasının adını belirler (denetim ve hata ayıklama için
380 kullanışlıdır). Öntanımlı günlük dosyası ismi
381 "<code>suexec_log</code>" olup yeri (<code>--logfiledir</code>
382 seçeneği ile belirtilen) günlük dosyaları dizinidir.</dd>
384 <dt><code>--with-suexec-safepath=<em>YOL</em></code></dt>
386 <dd>CGI çalıştırılabilirlerine aktarılacak güvenilir <code>PATH</code>
387 ortam değişkeninin değerini tanımlar.
388 "<code>/usr/local/bin:/usr/bin:/bin</code>" öntanımlıdır.</dd>
392 <title>SuEXEC çalıştırıcısının derlenmesi ve kurulumu</title>
394 <p>SuEXEC özelliğini <code>--enable-suexec</code> seçeneği ile
395 etkinleştirdiyseniz <code>make</code> komutunu verdiğinizde httpd
396 ile birlikte <code>suexec</code> çalıştırılabilir dosyası da
399 <p>Tüm bileşenler derlendikten sonra <code>make install</code> komutunu
400 vererek kurulumu tamamlayabilirsiniz. <code>suexec</code>
401 çalıştırılabilir dosyası <code>--sbindir</code> seçeneği ile
402 tanımlanan dizine kurulacaktır; öntanımlı yeri
403 <code>/usr/local/apache2/bin/</code> dizinidir.</p>
405 <p>Kurulum adımında <strong><em>root yetkisine</em></strong> sahip
406 olmanız gerektiğini unutmayın. Çalıştırıcıya kullanıcı kimliğinin
407 atanabilmesi ve dosyanın sahibi olan kullanıcı kimliği ile
408 çalıştırılabilmesini mümkün kılan bitinin etkin kılınabilmesi için
409 kurulumun <code><em>root</em></code> tarafından yapılması
414 <title>Paranoyak yetkilendirme</title>
416 <p>SuEXEC çalıştırıcısı kendini çalıştıran kullanıcının
417 <program>configure</program> betiğine
418 <code>--with-suexec-caller</code> seçeneği ile belirtilen kullanıcı
419 olup olmadığına bakacaksa da, bu sınamanın da bir sistem veya
420 kütüphane çağrısı ile istismar edilmiş olma ihtimali gözardı
421 edilmemelidir. Bunun meydana gelmesini önlemek için ve genelde
422 yapıldığı gibi dosyanın izinlerini suEXEC çalıştırıcısı sadece
423 httpd'nin aidiyetinde çalıştığı grup tarafından çalıştırılacak
424 şekilde ayarlayınız.</p>
426 <p>Örneğin, sunucunuz şöyle yapılandırılmışsa:</p>
430 Group apache-grup<br />
433 <p>Ve <program>suexec</program> çalıştırılabilir de
434 <code>/usr/local/apache2/bin/</code> dizinine kurulmuşsa şu komutları
438 chgrp apache-grup /usr/local/apache2/bin/suexec<br />
439 chmod 4750 /usr/local/apache2/bin/suexec<br />
442 <p>Böylece suEXEC çalıştırıcısını httpd’yi çalıştıran grubun
443 üyelerinden başkasının çalıştıramayacağından emin olabilirsiniz.</p>
447 <section id="enable">
448 <title>suEXEC’in etkin kılınması ve iptal edilmesi</title>
450 <p>httpd başlatıldığı sırada <program>suexec</program> çalıştırıcısı için
451 <code>--sbindir</code> seçeneği ile tanımlanan dizine bakar (seçeneğin
452 öntanımlı değeri <code>/usr/local/apache/sbin/suexec</code>’tir). httpd
453 düzgün yapılandırılmış bir suEXEC çalıştırıcısı bulduğu takdirde hata
454 günlüğüne şöyle bir ileti yazacaktır:</p>
457 [notice] suEXEC mechanism enabled (wrapper: <var>/dosya/yolu/suexec</var>)
460 <p>Sunucu başlatıldığında bu ileti yazılmazsa sunucu ya çalıştırıcı
461 programı umduğu yerde bulamamıştır ya da dosyanın <em>setuid</em> biti
462 <em>root</em> tarafından etkin kılınmamıştır.</p>
464 <p>SuEXEC mekanizmasını etkin kılmak istediğiniz sunucu çalışmaktaysa
465 sunucuyu önce öldürmeli sonra yeniden başlatmalısınız. Basit bir
466 <code>HUP</code> veya <code>USR1</code> sinyali ile yeniden başlamasını
467 sağlamak yeterli olmayacaktır.</p>
469 <p>SuEXEC mekanizmasını iptal etmek için ise <program>suexec</program>
470 dosyasını sildikten sonra httpd'yi öldürüp yeniden başlamalısınız.</p>
473 <section id="usage"><title>SuEXEC’in kullanımı</title>
475 <p>CGI programlarına yapılan isteklerin suEXEC çalıştırıcısı tarafından
476 yerine getirilebilmesi için sanal konağın bir <directive
477 module="mod_suexec">SuexecUserGroup</directive> yönergesi içermesi veya
478 isteğin <module>mod_userdir</module> tarafından işleme konulması
481 <p><strong>Sanal Konaklar:</strong><br />SuEXEC çalıştırıcısını farklı
482 bir kullanıcı ile etkin kılmanın tek yolu <directive
483 module="core">VirtualHost</directive> bölümleri içinde <directive
484 module="mod_suexec">SuexecUserGroup</directive> yönergesini
485 kullanmaktır. Bu yönergede ana sunucuyu çalıştıran kullanıcıdan farklı
486 bir kullanıcı belirterek ilgili sanal konak üzerinden CGI kaynakları
487 için yapılan tüm isteklerin belirtilen <em>kullanıcı</em> ve
488 <em>grup</em> tarafından çalıştırılması sağlanır. Bu yönergeyi
489 içermeyen sanal konaklar için ana sunucunun kullanıcısı
492 <p><strong>Kullanıcı dizinleri:</strong><br />
493 <module>mod_userdir</module> tarafından işleme sokulan tüm istekler için
494 suEXEC çalıştırıcısı istek yapılan kullanıcı dizininin sahibinin
495 aidiyetinde çalıştırılacaktır. Bu özelliğin çalışması için tek
496 gereklilik, kullanıcının SuEXEC çalıştırıcısı için etkin kılınmış olması
497 ve çalıştırıcının yukarıdaki <a href="#model">güvenlik sınamalarından</a>
498 geçebilmesidir. Ayrıca, <code>--with-suexec-userdir</code> <a
499 href="#install">derleme</a> seçeneğinin açıklamasına da bakınız.</p>
502 <section id="debug"><title>SuEXEC ve hata ayıklama</title>
504 <p>SuEXEC çalıştırıcısı yukarıda değinildiği gibi günlük bilgilerini
505 <code>--with-suexec-logfile</code> seçeneği ile belirtilen dosyaya
506 yazacaktır. Çalıştırıcıyı doğru yapılandırarak kurduğunuzdan emin olmak
507 istiyorsanız, yolunda gitmeyen şeyler var mı diye bu günlük dosyasına
508 bakmayı ihmal etmeyin.</p>
512 <section id="jabberwock">
513 <title>Uyarılar ve Örnekler</title>
515 <p><strong>UYARI!</strong> Bu bölüm henüz bitmedi. Bu bölümün son hali
517 href="http://httpd.apache.org/docs/&httpd.docs;/suexec.html">çevrimiçi
518 belgelere</a> bakınız.</p>
520 <p>SuEXEC çalıştırıcısından dolayı sunucu ayarlarına bazı sınırlamalar
521 getiren bir kaç önemli nokta mevcuttur. SuEXEC ile ilgili hata
522 bildiriminde bulunmadan önce bunlara bir göz atmalısınız.</p>
525 <li><strong>suEXEC ile ilgili önemli noktalar</strong></li>
527 <li>Hiyerarşik sınırlamalar
529 <p class="indent">Güvenlik ve verimlilik adına, tüm suEXEC
530 isteklerinin sanal konaklar için üst düzey belge kökünün altındaki
531 dosyalarla, kullanıcı dizinleri için ise üst düzey bireysel belge
532 köklerinin altındaki dosyalarla sınırlı kalması gerekir. Örneğin,
533 dört sanal konağınız varsa ve suEXEC çalıştırıcısının
534 getirilerinden faydalanmak istiyorsanız, sanal konaklarınızın belge
535 kök dizinlerini ana sunucunun belge kök dizininin altında kalacak
536 şekilde yapılandırmanız gerekir (örnek yolda).</p>
539 <li>SuEXEC'in <code>PATH</code> ortam değişkeni
541 <p class="indent">Bunu değiştirmek tehlikeli olabilir. Bu değişkende
542 tanımladığınız her yolun <strong>güvenli</strong> bir dizini işaret
543 ettiğinden emin olmalısınız. Başkalarının oralarda bir truva atı
544 çalıştırmasını istemiyorsanız buna çok dikkat ediniz.</p>
547 <li>SuEXEC kodunda değişiklik
549 <p class="indent">Gerçekte ne yaptığınızı bilmiyorsanız bu,
550 <strong>büyük bir sorun</strong> olabilir. Böyle şeyler yapmaktan
551 mümkün olduğunca uzak durmalısınız.</p>