從安全的角度來看，將 /etc/shadow 的讀取權限授予 apache 使用者是一個明智的決定嗎？

我必須對 DAV SVN 使用 PAM 身份驗證，但是當一切都按照 mod_auth_pam 文件中的指定進行配置時，身份驗證不起作用。經過一些研究，我意識到，要使其正常工作，httpd 應該在 root 使用者下執行（我不喜歡也不會實現）或 apache 使用者（預設情況下執行 httpd）應該有權讀取 /等/影子文件。因此，我想問兩個相互關聯的問題：

1. 從安全的角度來看，向 apache 使用者授予此許可是一個明智的決定嗎？
2. 如果第一個問題的答案是“是”，那麼正確的方法是什麼？

現在我已經完成了以下工作：

groupadd shadow
usermod -G shadow apache
chmod g+r /etc/shadow

我能想到的另一種方法是使用 acl：

setfacl -m u:apache:r /etc/shadow

注意： 作業系統是 Fedora 14 x86_64（核心：2.6.35.11）

httpd v2.2.17

mod_auth_pam v1.1.1

不，你永遠不應該讓像 Apache 這樣的公共可訪問服務訪問 /etc/shadow。

您可以嘗試將mod_auth_external與pwauth結合使用，而不是 mod_auth_pam 。

引用自：https://serverfault.com/questions/240575