Security

從安全的角度來看,將 /etc/shadow 的讀取權限授予 apache 使用者是一個明智的決定嗎?

  • February 26, 2011

我必須對 DAV SVN 使用 PAM 身份驗證,但是當一切都按照 mod_auth_pam 文件中的指定進行配置時,身份驗證不起作用。經過一些研究,我意識到,要使其正常工作,httpd 應該在 root 使用者下執行(我不喜歡也不會實現)或 apache 使用者(預設情況下執行 httpd)應該有權讀取 /等/影子文件。因此,我想問兩個相互關聯的問題:

  1. 從安全的角度來看,向 apache 使用者授予此許可是一個明智的決定嗎?
  2. 如果第一個問題的答案是“是”,那麼正確的方法是什麼?

現在我已經完成了以下工作:

groupadd shadow
usermod -G shadow apache
chmod g+r /etc/shadow

我能想到的另一種方法是使用 acl:

setfacl -m u:apache:r /etc/shadow

注意: 作業系統是 Fedora 14 x86_64(核心:2.6.35.11)

httpd v2.2.17

mod_auth_pam v1.1.1

不,你永遠不應該讓像 Apache 這樣的公共可訪問服務訪問 /etc/shadow。

您可以嘗試將mod_auth_externalpwauth結合使用,而不是 mod_auth_pam 。

引用自:https://serverfault.com/questions/240575