mod_become modulen gjør webserveren til å ta på tilgangsrettighetene til en bruker og gruppe, slik at ~ brukerne kan gjøre tilgjengelig filer til Internett uten å måtte gjøre dem lesbare av verden på det lokale filsystemet. Dette kan være nyttig for områder med et stort antall brukere som ønsker å bruke filen tilgangskontroll seg imellom. Denne modulen kan også brukes til virtuelle verter, kataloger og steder.
Når serveren er konfigurert med «Bruker root" (se Security), da denne modulen vil oppføre seg som om direktivet "MaxRequestsPerChild 1" ble satt for serveren og "Keepalive off" ble satt for server og hver virtuell vert der en mod_become Direktivet vises, som i hovedsak begrenser server og de virtuelle verter til HTTP / 1.0 atferd.
Derfor, for hver forespørsel, vil denne modulen setuid () og setgid () prosessen håndterer anmodning basert på en av de retningslinjer som er beskrevet nedenfor. Når forespørselen er fullført, vil prosessen avsluttes. Den overordnede serveren vil være ansvarlig for gyting et nytt barn prosess for å håndtere eventuelle fremtidige forespørsler.
Kilden kan kompileres til å bruke seteuid () og setegid () i stedet for setuid () og setgid () (se øverst i Makefile), men er ikke standard. Bruk av seteuid () og setegid () kan bedre preformance ved å unngå behovet for å drepe Apache barnet prosessen mellom forespørsler, men det har betydelige sikkerhetsproblemer. For eksempel moduler som mod_php eller mod_perl som gir APIer for å seteuid () og setegid (), kan brukes til å bli root bruker igjen og gjøre hva de vil.
Hovedsak noen modul som er en del av Apache prosessen plass kunne gå tilbake til roten brukeren hvis de gjør bruk av seteuid () og setegid (). Det anbefales at innen mod_php, mod_perl, og andre språkmoduler som disse APIene deaktiveres. CGIer som er lansert som en egen prosess med Apache skal, i teorien, være trygg, siden effektive bruker og gruppe-ID bli den virkelige brukeren og gruppe-ID for barnet prosessen og kan derfor ikke gå tilbake til root (hvis jeg forstår ting riktig) .
Konfigurasjon
Kommandoene nedenfor kan legges til den generelle Apache konfigurasjonsfil, httpd.conf.
Bruker-ID
Kontekst: global,
Dette er ikke en del av mod_become, men brukes til å aktivere eller deaktivere mod_become oppførsel, siden mod_become kan bare fungere når "Bruker root" er angitt for hoved server konfigurasjon. Du må kompilere Apache med -DBIG_SECURITY_HOLE for å gjøre dette.
Bli bruker id
Bli gruppe id
Kontekst: server,
Spesifiser brukeren eller gruppen som skal brukes som standard. Når BecomePolicy er brukervennlig gruppe, da disse vil alltid bli brukt. Hvis hoved server konfigurasjon ikke klarer å sette brukeren mislighold og gruppe, deretter en feil 503 Tjenesten er utilgjengelig og en feilloggoppføring kan skje bør disse verdiene være nødvendig.
BecomePolicy politikk
Kontekst: global,
Spesifiser policy brukes til å sette brukeren og gruppe ids av barnet prosessen:
fil
Brukerens gruppen av den valgte filen benyttes. Ikke anbefale.
user-group
Standard bruker & gruppe spesifisert brukes. Dette ligner på oppførselen til Apache kjerne direktivene User og Group. Dette er standard policy.
dokument-rot
Brukeren og gruppen av serverens eller virtuell vert dokumentet rot brukes.
foreldre-katalogen
Brukeren og gruppen av anmodningen overordnede katalogen brukes. Når anmodningen tilsvarer en katalog, så det blir brukt i stedet for den overordnede.
BecomeRoot boolsk
Kontekst: global,
Når sant, vil mod_become tillate at prosessen skal fungere som root bruker eller gruppe; ellers en 403 Forbidden error og error log oppføring vil skje hvis prosessen forsøker å bli root bruker eller gruppe. Som standard er dette satt false
Krav .
- Apache 1.3.x
Kommentarer ikke funnet