mod_become modul giver webserveren til at tage på adgangsrettighederne for en bruger & gruppe, så ~ brugere kan stille filer til internettet uden at skulle gøre dem læses af verden på det lokale filsystem. Dette kan være nyttigt for websteder med et stort antal brugere, der ønsker fil adgangskontrol til at anvende indbyrdes. Dette modul kan også anvendes på virtuelle værter, mapper og placeringer.
Når serveren er konfigureret med "User root" (se Sikkerhed), så dette modul vil opføre sig som om direktivet "MaxRequestsPerChild 1" blev sat for serveren og "KeepAlive off" blev sat til serveren og hver virtuel vært, hvor en mod_become Direktivet vises, som i det væsentlige begrænser serveren og de virtuelle værter for HTTP / 1.0 adfærd.
Derfor, for hver anmodning, vil dette modul setuid () og setgid () processen håndterer anmodningen baseret på en af de politikker, der er skitseret nedenfor. Når anmodningen er afsluttet, vil processen opsige. Den forælder server vil være ansvarlig for gydende et nyt barn proces til at håndtere eventuelle fremtidige anmodninger.
Kilden kan kompileres til at bruge seteuid () og setegid () i stedet for setuid () og setgid () (se toppen af Makefile), men er ikke standard. Anvendelse af seteuid () og setegid () kan forbedre preformance ved at undgå behovet for at dræbe Apache barn proces mellem anmodninger, men det har betydelige sikkerhedsproblemer. For eksempel moduler som mod_php eller mod_perl der giver API'er til at seteuid () og setegid (), kan bruges til at blive root-bruger igen og gøre, hvad de vil have.
Væsentlige enhver modul, er en del af Apache processen plads kunne vende tilbage til roden brugeren, hvis de gør brug af seteuid () og setegid (). Det anbefales, at der inden for mod_php, mod_perl, og andre sproglige moduler, disse API'er deaktiveres. CGI'er der lanceres som en separat proces ved Apache bør i teorien være sikker, da den effektive bruger og gruppe-ID blive den reelle bruger og gruppe-ID af barnet processen, og derfor ikke kan vende tilbage til roden (hvis jeg forstår tingene korrekt) .
Konfiguration
Kommandoerne nedenfor kan føjes til den generelle Apache konfigurationsfil, httpd.conf.
Bruger ID
Kontekst: global,
Dette er ikke en del af mod_become, men bruges til at aktivere eller deaktivere mod_become adfærd, da mod_become kan kun fungere, når "User root" er angivet for de vigtigste server konfiguration. Du er nødt til at kompilere Apache med -DBIG_SECURITY_HOLE for at gøre dette.
Bliv bruger id
Bliv gruppe id
Kontekst: server,
Angiv den bruger eller gruppe, der skal bruges som standard. Når BecomePolicy er brugervenlig gruppe, så disse vil altid blive brugt. Hvis den primære server konfiguration ikke indstille standard bruger og gruppe, så en fejl 503 Tjenesten er ikke tilgængelig og en fejllog post kan forekomme bør kræves disse værdier.
BecomePolicy politik
Kontekst: global,
Angiv den politik bruges til at indstille brugerens & gruppe ids barnets proces:
fil
Brugeren & gruppe af den ønskede fil bruges. Ikke anbefale.
user-gruppen
Standarden bruger & gruppe angivet, anvendes. Dette svarer i adfærd til Apache centrale direktiver User og Group. Dette er standard politik.
dokument-roden
Brugeren & gruppe serverens eller virtuelle vært dokument roden bruges.
forældre-mappe
Brugeren & gruppe af anmodningen forælder bibliotek bruges. Når anmodningen svarer til et bibliotek, så er det anvendes i stedet for dens forælder.
BecomeRoot boolean
Kontekst: global,
Når sandt, vil mod_become lade processen til at fungere som root bruger eller gruppe; ellers en 403 Forbidden fejl, og en fejl log post vil opstå, hvis processen forsøger at blive root bruger eller gruppe. Som standard er denne er sat falske
Krav :.
- Apache 1.3.x
Kommentarer ikke fundet