mod_become modul lehetővé teszi a web szerver, hogy a hozzáférési jogokat a felhasználó-csoportból, így ~ felhasználók rendelkezésére bocsátja fájlokat a web anélkül, hogy azok olvasható a világon a helyi fájlrendszerben. Ez hasznos lehet a helyszínek nagy számú felhasználó, aki szeretné alkalmazni fájl hozzáférés-felügyeletet egymás között. Ez a modul is alkalmazható virtuális gépeket, könyvtárak, és a helyszínen.
Amikor a szerver van beállítva "User root" (lásd Security), akkor ezt a modult fog viselkedni, mintha az irányelv "MaxRequestsPerChild 1" állítottak fel, szerver és "KeepAlive off" állítottak fel, szerver és minden virtuális host, ahol a mod_become direktívák, amelyek alapvetően korlátozza a szerver és a virtuális gépek HTTP / 1.0 viselkedését.
Ezért minden egyes kérelmet, ezt a modult setuid root () és setgid () a folyamat kezeli a kérelmet alapján az egyik kiemelt politikák alább. Miután a kérelmet befejeződött, a folyamat befejeződik. A fölérendelt kiszolgáló feladata lesz szaporodóképes új gyermek folyamatot kezelni a jövőbeli kéréseket.
A forrás lehet összeállítani használni seteuid () és setegid () helyett setuid () és setgid () (lásd a tetején a Makefile), de nem ez az alapértelmezett. Használata seteuid () és setegid () javíthatja preformance elkerülésével kell megölni az Apache gyermek folyamat kérelmek között, de ez nem jelentős biztonsági kérdéseket. Például modulok, mint mod_php vagy mod_perl amelyek API-k seteuid () és setegid (), lehetne használni root felhasználó ismét, és tedd, amit valaha is akarnak.
Lényegében minden modul, amely része az Apache folyamat térben térhet vissza a root felhasználó, amennyiben élnek a seteuid () és setegid (). Javasoljuk, hogy a belül mod_php, mod_perl, és más nyelvi modulok, hogy ezeket az API tiltva. CGIS, hogy indítanak egy külön eljárásban Apache elméletben, hogy biztonságos, mivel az effektív felhasználói és csoport azonosítót vált a valós felhasználói és csoport azonosítóját gyerek folyamat, és ezért nem áll vissza a root (ha jól értem a dolgokat helyesen) .
Configuration
Az alábbi parancsokat adhatunk az általános Apache konfigurációs fájl, httpd.conf.
Felhasználói azonosító
Kontextus: globális,
Ez nem része a mod_become, de használják, hogy engedélyezze vagy tiltsa mod_become viselkedését, hiszen mod_become csak akkor tud működni, ha a "Felhasználó root" van megadva a fő szerver konfiguráció. Be kell, hogy az Apache fordításához -DBIG_SECURITY_HOLE annak érdekében, hogy ezt.
Legyen felhasználói azonosító
Legyél csoport id
Kontextus: szerver,
Adja meg a felhasználó vagy csoport által használt alapértelmezett. Amikor a BecomePolicy a felhasználó-csoport, akkor ezek mindig használható. Ha a fő szerver konfigurációs beállítás nem történik meg az alapértelmezett felhasználói és csoport, akkor hibát 503 szolgáltatás nem érhető el, és a hiba naplóbejegyzés előfordulhatnak kell ezeket az értékeket kell követelni.
BecomePolicy politika
Kontextus: globális,
Adja meg a politika lehet beállítani a felhasználói és csoport azonosítók, a gyermek folyamat:
akta
A felhasználói és csoport a kért fájl használják. Nem ajánlom.
felhasználói csoport
Az alapértelmezett felhasználói és csoport vonatkozásában használják. Ez hasonló ahhoz, hogy az Apache központi irányelvek felhasználók és csoportok. Ez az alapértelmezett politikáját.
dokumentum-gyökér
A felhasználói és csoport a szerver, vagy virtuális gazda dokumentum gyökerét használják.
szülő-könyvtár
A felhasználói és csoport kérésére szülő könyvtárat használjuk. Ha a kérelem megfelel egy könyvtárba, majd ezt használja a szülő.
BecomeRoot logikai
Kontextus: globális,
Ha igaz, mod_become lehetővé teszi a folyamatot, hogy működik a root felhasználó vagy csoport; egyébként a 403 Forbidden hiba és egy hiba naplóbejegyzés fog bekövetkezni, ha a folyamat megkísérli root felhasználó vagy csoport. Alapértelmezésben ez a beállítás hamis.
követelmények :
- Apache 1.3.x
Hozzászólás nem található