suexec bekommt die entsprechende UID/GID übergeben und dementsprechend werden die Privilegien zur Laufzeit gesetzt.
Nee!
der suexec-User darf nicht root sein!
das Script muss suexec gehören!
und das Script das suexec gehört und nicht die U(G)ID "0" haben darf, wird per SUID mit root-Rechten ausgeführt!
Es werden keine rechte/Privilegien verändert/gesetzt!
Wie im richtigen Leben mit dem Befehl "passwd" für den normalen Benutzer!
Die 0 wird von vornherein nach interner Prüfung abgewiesen - innerhalb von suexec
Das ist nicht der suexec-User darf nicht root sein!
weil dann das ganze Nonsons wäre!
Dabei ist egal, wem suexec gehört.
wenn du "/usr/sbin/suexec" meinst ist es nicht egal und gerade der Knackpunkt!
weil ja "/usr/sbin/suexec" den Benutzer "root" gehört wird also das script das aufgerufen wird mit "root-Rechten ausgeführt, aber nur wenn das script halt nicht die UID "0" hat und suexec gehört!