mod_become moduuli mahdollistaa web-palvelin ottaa käyttöoikeuksien käyttäjä ja ryhmä, jotta ~ käyttäjät voivat tarjota tiedostoja Web ilman tehdä niistä luettavissa maailmaa paikalliseen tiedostojärjestelmään. Tämä voi olla hyödyllinen sivustoja, joissa on paljon käyttäjiä, jotka haluavat soveltaa tiedostoon pääsyn valvontaan keskenään. Tämä moduuli voidaan myös soveltaa virtuaalisia hosts, hakemistoja ja sijainteja.
Kun palvelin on määritetty "Käyttäjä root" (ks Security), niin tämä moduuli käyttäytyy ikään kuin direktiivi "MaxRequestsPerChild 1" oli asetettu palvelimelle ja "KeepAlive off" oli asetettu palvelimelle ja jokainen virtuaalinen isäntä, jossa mod_become direktiivi annetaan, joka olennaisesti rajoittaa palvelimen ja ne virtuaalinen hosts HTTP / 1.0 käyttäytymiseen.
Siksi jokaisen pyynnön, tämä moduuli setuid () ja setgid () prosessi käsittely pyynnön perusteella johonkin linjaukset alla. Kun pyyntö on valmis, prosessi päättyy. Vanhempi palvelin vastaa kutu uuden lapsi prosessi käsitellä mahdollisia tulevia pyyntöjä.
Lähde voidaan koota käyttää seteuid () ja setegid () sijaan setuid () ja setgid () (ks yläosan Makefile), mutta se ei ole oletuksena. Käyttö seteuid () ja setegid () voi parantaa preformance välttämällä tarve tappaa Apache lapsi prosessin välillä pyyntöjä, mutta sillä ei ole merkittäviä turvallisuuteen liittyviä kysymyksiä. Esimerkiksi moduuleja, kuten mod_php tai mod_perl jotka tarjoavat API seteuid () ja setegid (), voitaisiin käyttää tulla root käyttäjä jälleen ja tehdä mitä ikinä he haluavat.
Pohjimmiltaan mikä tahansa moduuli, joka on osa Apache prosessin tilaa voitaisiin palata kitkemään käyttäjälle, jos ne käyttävät seteuid () ja setegid (). On suositeltavaa, että sisällä mod_php, mod_perl, ja muita kielen moduulit, jotka näitä API poistettu käytöstä. CGI että käynnistetään omana prosessi Apache pitäisi teoriassa, olla turvallinen, koska tehokas käyttäjä ja ryhmä ID tullut todellinen käyttäjä ja ryhmä ID lapsen prosessi ja siksi ei voi palata takaisin root (jos olen ymmärtänyt asiat oikein) .
Kokoonpano
Komennot Alla voidaan lisätä yleistä Apachen asetustiedoston, httpd.conf.
Käyttäjätunnus
Konteksti: globaali,
Tämä ei ole osa mod_become, mutta sitä käytetään käyttöön tai poistaa mod_become käytös, koska mod_become voi toimia vain silloin, kun "Käyttäjä root" on määritelty tärkeimmät palvelimen kokoonpano. Sinun täytyy koota Apache kanssa -DBIG_SECURITY_HOLE voidakseen tehdä tämän.
Tullut käyttäjätunnus
Tullut ryhmä id
Konteksti: palvelin,
Määritä käyttäjä tai ryhmä, jota käytetään oletuksena. Kun BecomePolicy on käyttäjä-ryhmä, niin nämä käytetään aina. Jos tärkein palvelin kokoonpano ei aseta oletuskäyttäjä ja ryhmä, sitten virhe 503 Palvelu ei ole käytettävissä, ja virhe lokiin saattaa esiintyä pitäisi näitä arvoja tarvitaan.
BecomePolicy politiikka
Konteksti: globaali,
Määritä politiikkaa käytetään asettamaan käyttäjälle ja ryhmän tunnukset lapsen prosessi:
tiedosto
Käyttäjä ja Ryhmä pyydetyn tiedoston käytetään. Ei suositella.
user-ryhmä
Oletuskäyttäjä & ryhmässä määritellyt käytetään. Tämä on samanlainen ongelma kuin Apache ytimeen direktiivien Käyttäjien ja ryhmien. Tämä on oletusarvo politiikkaa.
asiakirja-root
Käyttäjä ja Ryhmä palvelimen tai virtuaalinen isännän asiakirjaa käytetään juurta.
vanhempi-hakemisto
Käyttäjä ja Ryhmä pyynnön emoyhtiön hakemistoon käytetään. Kun pyyntö vastaa hakemistoon, niin sitä käytetään sijasta sen emoyhtiön.
BecomeRoot boolean
Konteksti: globaali,
Kun totta, mod_become mahdollistaa prosessin toimimaan root käyttäjä tai ryhmä; muuten 403 Forbidden virhe ja virhe lokiin syntyy, jos prosessi yrittää tulla root käyttäjä tai ryhmä. Oletuksena tämä on asetettu väärä.
vaatimukset
- Apache 1.3.x
Kommentteja ei löytynyt