Está dando permissões de leitura em / etc / shadow para o usuário do apache uma decisão acertada do ponto de vista da segurança?

Question

Está dando permissões de leitura em / etc / shadow para o usuário do apache uma decisão acertada do ponto de vista da segurança?

#1 resposta do (2 votos)

1

Eu tenho que usar a autenticação PAM para DAV SVN, mas quando tudo está configurado conforme especificado na documentação do mod_auth_pam, a autenticação não funciona. Depois de algumas pesquisas, percebi que para isso funcionar, o httpd deveria estar rodando sob o usuário root (que eu não gosto e não vou implementar) ou o usuário apache (sob o qual o httpd é executado por padrão) deveria ter permissões para ler / arquivo etc / shadow. Então há um par de perguntas conectadas entre si que eu gostaria de perguntar:

Está dando essa permissão ao usuário do apache uma decisão sábia do ponto de vista da segurança?
Se a resposta à primeira pergunta for "sim", qual é a maneira correta de fazer isso?

Por enquanto eu fiz o seguinte:

groupadd shadow
usermod -G shadow apache
chmod g+r /etc/shadow

Outra maneira que eu posso usar é usar o acl:

setfacl -m u:apache:r /etc/shadow

Nota: SO é o Fedora 14 x86_64 (kernel: 2.6.35.11)

link

mod_auth_pam v1.1.1

permissions authentication security pam httpd

por Czar 26.02.2011 / 13:10

1 resposta

Tags permissions authentication security pam httpd

A reconfiguração do arquivo de configuração do HAproxy Servidor Web da rede interna - nome do host

score 2 · Accepted Answer

Não, você nunca deve dar um serviço acessível ao público como o acesso do Apache ao / etc / shadow.

Em vez de mod_auth_pam, você pode tentar usar mod_auth_external em conjunto com pwauth .