mod_become modülü o ~ kullanıcıların yerel dosya sisteminde dünyanın onları okunabilir yapmak zorunda kalmadan web mevcut dosyaları yapabilirsiniz, böylece bir kullanıcının grubun erişim haklarını almak için web sunucusu sağlar. Bu kendi aralarında dosya erişim denetimlerini uygulamak isteyen kullanıcılar çok sayıda olan siteler için yararlı olabilir. Bu modül aynı zamanda sanal konaklar, dizinler ve yerlere uygulanabilir.
Sunucu "Kullanıcı root" (bkz: Güvenlik) ile konfigüre edildiğinde, o zaman bu modül yönergesi nerede mod_become sunucu ve her sanal konak için kuruldu sunucu ve "KeepAlive off" için kuruldu "1 MaxRequestsPerChild" olarak olsa davranacaktır direktif esas sunucu ve HTTP / 1.0 davranış için bu sanal konaklar sınırlar görüntülenir.
Bu nedenle, her istek için, bu modül setuid edecek () ve setgid () aşağıda belirtilen politikaların birine dayalı isteğini ele süreci. Istek tamamlandığında, süreç sona erer. ebeveyn sunucusu gelecekte istekleri işlemek için yeni bir çocuk süreç yumurtlama sorumlu olacaktır.
Kaynak yerine setuid () ve setgid () (Makefile üst bakınız) seteuid () ve setegid () kullanmak için derlenmiş, ancak varsayılan değil edilebilir. Seteuid () ve setegid () Kullanımı istekleri arasında Apache çocuk sürecini öldürmek için ihtiyacı kaçınarak preformance artırabilir, ancak önemli güvenlik sorunları var ETMEZ. API'ler () ve setegid () seteuid sağlamak mod_php veya mod_perl gibi örnek modüllerinde, yine root olmak ve onlar ne kadar istediğiniz yapmak için kullanılabilir.
Onlar seteuid () ve setegid faydalanmak eğer Esasen Apache işlem alanının parçası olan herhangi bir modül kullanıcı kök dönmek olabilir (). Bu mod_php, mod_perl ve diğer dil modülleri içinde bu API'ler devre dışı bırakılmasını tavsiye edilir. Etkin kullanıcı ve grup kimliği gerçek kullanıcı ve çocuk sürecinin grup kimliği haline ve bu nedenle köküne geri dönmek olamaz çünkü Apache tarafından ayrı bir süreç olarak başlatılan CGI, teoride, güvenli olmalı (Ben doğru şeyleri anlamak eğer) .
Yapılandırma
komutlar aşağıdaki genel Apache yapılandırma dosyası httpd.conf eklenebilir.
Kullanıcı kimliği
Bağlam: Küresel,
Mod_become "Kullanıcı root" ana sunucu yapılandırması için tek fonksiyonu belirtilen zaman çünkü bu, mod_become parçası değildir, ancak etkinleştirmek veya devre dışı bırakmak mod_become davranışını kullanılır. Bunu yapmak için -DBIG_SECURITY_HOLE ile Apache derlemek gerekir.
Ol kullanıcı kimliği
Ol grup kimliği
Bağlam: sunucu,
Varsayılan olarak kullanılacak kullanıcı veya grubu belirtin. BecomePolicy kullanıcı grubu olduğunda, o zaman, bu, her zaman kullanılır. Ana sunucu yapılandırma varsayılan kullanıcı ve grup, daha sonra bir hata 503 Hizmet kullanılamıyor ve oluşabilecek bir hata günlük girdisi ayarlamak için başarısız olursa bu değerlerin gerekli olmalıdır.
BecomePolicy politikası
Bağlam: Küresel,
Alt sürecin kullanıcı ve grup kimlikleri belirlemek için kullanılan bir politika belirleyin:
dosya
istenen dosyanın kullanıcı ve grup kullanılır. Tavsiye değil.
Kullanıcı grubu
Belirtilen varsayılan kullanıcı ve grup kullanılır. Bu Apache çekirdek direktifleri Kullanıcı ve Grup davranış benzer. Bu varsayılan politikasıdır.
Belge kök
Sunucu ya da sanal konağın belge kök kullanıcı ve grup kullanılır.
ebeveyn-directory
isteğin üst dizine kullanıcı ve grup kullanılır. Istek bir dizine karşılık, o zaman yerine kendi ebeveyn kullanılır.
BecomeRoot boole
Bağlam: Küresel,
Ne zaman gerçek, mod_become işlem root kullanıcı veya grup olarak çalışmasına izin verir; işlem root kullanıcı veya grup haline çalışırsa aksi takdirde 403 Yasak hatası ve bir hata günlük girdisi ortaya çıkar. Varsayılan olarak bu yanlış ayarlanırsa
Gereksinimleri :.
- Apache 1.3.x
Yorum Bulunamadı