Security
從安全的角度來看,將 /etc/shadow 的讀取權限授予 apache 使用者是一個明智的決定嗎?
我必須對 DAV SVN 使用 PAM 身份驗證,但是當一切都按照 mod_auth_pam 文件中的指定進行配置時,身份驗證不起作用。經過一些研究,我意識到,要使其正常工作,httpd 應該在 root 使用者下執行(我不喜歡也不會實現)或 apache 使用者(預設情況下執行 httpd)應該有權讀取 /等/影子文件。因此,我想問兩個相互關聯的問題:
- 從安全的角度來看,向 apache 使用者授予此許可是一個明智的決定嗎?
- 如果第一個問題的答案是“是”,那麼正確的方法是什麼?
現在我已經完成了以下工作:
groupadd shadow usermod -G shadow apache chmod g+r /etc/shadow
我能想到的另一種方法是使用 acl:
setfacl -m u:apache:r /etc/shadow
注意: 作業系統是 Fedora 14 x86_64(核心:2.6.35.11)
httpd v2.2.17
mod_auth_pam v1.1.1
不,你永遠不應該讓像 Apache 這樣的公共可訪問服務訪問 /etc/shadow。
您可以嘗試將mod_auth_external與pwauth結合使用,而不是 mod_auth_pam 。