modul mod_become permite serverul de web pentru a lua cu privire la drepturile de acces ale unui utilizator si grup, astfel încât ~ utilizatorii pot face fișierele disponibile pe web fără a le face ușor de citit de către lumea de pe sistemul de fișiere local. Acest lucru poate fi util pentru site-urile cu un număr mare de utilizatori care doresc să aplice controalele de acces fișier între ei. Acest modul poate fi, de asemenea, aplicate la gazde virtuale, directoare, și locații.
Când serverul este configurat cu "root User" (a se vedea de securitate), atunci acest modul se va comporta ca și cum directiva "MaxRequestsPerChild 1" au fost stabilite pentru server și "Keepalive off" au fost stabilite pentru server și fiecare gazdă virtuală în cazul în care o mod_become directivă apare, care limitează, în esență, server și aceste gazde virtuale la HTTP / 1.0 comportament.
Prin urmare, pentru fiecare cerere, acest modul va setuid () și setgid () de manipulare cererea bazată pe una dintre politicile prezentate mai jos procesul. Odată solicitare este efectuată, procesul se va termina. Serverul parinte va fi responsabil pentru depunerea icrelor un proces nou copil să se ocupe de orice cerere viitoare.
Sursa pot fi compilate pentru a utiliza seteuid () și setegid () în loc de setuid () și setgid () (a se vedea partea de sus a Makefile), dar nu este implicit. Utilizarea seteuid () și setegid () poate îmbunătăți performanțe prin evitarea necesitatea de a ucide procesul Apache copil între solicitările, dar are probleme semnificative de securitate. De exemplu, module, cum ar fi mod_php sau mod_perl care oferă API pentru seteuid () și setegid (), ar putea fi folosite pentru a deveni root, din nou, și de a face tot ceea ce isi doresc.
În esență, orice modul care face parte din spatiul procesului Apache ar putea reveni la rădăcină utilizator în cazul în care face uz de seteuid () și setegid (). Se recomandă ca în mod_php, mod_perl, și alte module de limba care aceste API-uri să fie dezactivate. CGIs care sunt lansate ca un proces separat de Apache ar trebui, teoretic, să fie în siguranță, deoarece efectiv de utilizator și de grup ID deveni utilizator reală și ID-ul de grup a procesului copil și, prin urmare, nu se poate reveni la rădăcină (dacă am înțeles lucrurile corect) .
Configurație
Comenzile de mai jos pot fi adăugate la general, fișierul de configurare Apache, httpd.conf.
ID-ul de utilizator
Context: la nivel mondial,
Acest lucru nu este parte a mod_become, dar este folosit pentru a activa sau dezactiva comportamentul mod_become, deoarece mod_become poate funcționa doar atunci când "root Utilizatorul" este specificat pentru configurarea serverului principal. Aveți nevoie pentru a compila Apache cu -DBIG_SECURITY_HOLE în scopul de a face acest lucru.
ID utilizator deveni
Deveniți id grup
Context: server
Specificați utilizatorul sau grupul care urmează să fie utilizat în mod implicit. Atunci când BecomePolicy este user-grup, atunci acestea vor fi utilizate întotdeauna. Dacă configurația serverului principal nu pentru a seta utilizator implicit și grupul, apoi un serviciu de eroare 503 indisponibil și o eroare de intrare jurnal poate apărea ar fi necesară aceste valori.
Politica BecomePolicy
Context: la nivel mondial,
Specifica politica folosit pentru a seta utilizatori și grupuri ID-urile de procesul fiu:
fișier
Utilizatorul și grupul fișierului solicitat sunt utilizate. Nu recomanda.
user-grup
Grupul de utilizator si implicit specificat sunt utilizate. Acest lucru este similar în comportament Apache directivelor de bază utilizator și de grup. Aceasta este politica implicită.
Document-rădăcină
Utilizatorul și grupul de documente radacina gazdă virtuală a serverului sau este utilizat.
părinte-director
Utilizatorul și grupul de director părinte cererii este utilizat. Când solicitarea corespunde un director, atunci acesta este folosit în loc de mamă.
BecomeRoot boolean
Context: la nivel mondial,
Când adevărat, mod_become va permite ca procesul să funcționeze ca root sau de grup; altfel o eroare 403 Interzis și o intrare jurnal de eroare va apărea dacă procesul încearcă să devină root sau de grup. Implicit, această este setat fals
Cerințe :.
- Apache 1.3.x
Comentariile nu a fost găsit