mod_become module ay nagbibigay-daan sa mga web server na kumuha sa mga karapatan ng access ng isang user & group, kaya na ~ mga user ay maaaring gumawa ng mga magagamit file sa web nang hindi na gumawa ng mga ito nababasa ng mundo sa mga lokal na file system. Ito ay maaaring maging kapaki-pakinabang para sa mga site na may isang malaking bilang ng mga gumagamit na gustong mag-apply kontrol sa access ng file sa kanilang sarili. Ang module na ito ay maaari ring ilapat sa virtual nagho-host, mga direktoryo, at lokasyon.
Kapag ang server ay naka-configure sa "User root" (tingnan Security), pagkatapos ay ang module na ito ay kumilos bilang bagaman ang direktiba "MaxRequestsPerChild 1" ay naka-set para sa mga server at "KeepAlive off" ay naka-set para sa mga server at ang bawat virtual host kung saan ang isang mod_become Lumilitaw na direktiba, na mahalagang mga limitasyon sa server at ang mga virtual nagho-host sa HTTP / 1.0 pag-uugali.
Samakatuwid, para sa bawat kahilingan, ang module na ito ay setuid () at setgid () ang proseso sa paghawak ng mga kahilingan batay sa isa sa mga patakaran sa nakabalangkas sa ibaba. Kapag ang kahilingan ay nakumpleto na, ang proseso ay tapusin. Parent server ay magiging responsable para sa pangingitlog ng isang bagong proseso ng bata na humawak ng anumang mga kahilingan sa hinaharap.
Ang source ay maaaring naipon na gamitin seteuid () at setegid () sa halip ng setuid () at setgid () (tingnan ang tuktok ng Makefile), ngunit ito ay hindi ang default. Paggamit ng seteuid () at setegid () ay maaaring pagbutihin ang preformance pamamagitan ng pag-iwas sa mga kailangan upang patayin ang proseso Apache bata sa pagitan ng mga kahilingan, ngunit ito AY magkaroon ng makabuluhang mga isyu sa seguridad. Halimbawa module tulad mod_php o mod_perl na nagbibigay ng mga API upang seteuid () at setegid (), ay maaaring magamit upang maging muli root user at gawin kung ano man ang nais nila.
Totoo anumang module na ito ay bahagi ng Apache proseso space maipanumbalik sa root user kung sila ay gumawa ng paggamit ng seteuid () at setegid (). Ito ay inirerekomenda na loob mod_php, mod_perl, at iba pang mga module ng wika na ang mga API na hindi pinagana. CGIs na inilunsad bilang isang hiwalay na proseso sa pamamagitan ng Apache dapat, sa teorya, maging ligtas, dahil maging ang epektibong ID ng user at pangkat ang tunay na gumagamit at grupo ng ID ng proseso ng bata at hindi sa gayon ay maaaring bumalik sa root (kung naiintindihan ko ang mga bagay na tama) .
Configuration
Ang utos sa ibaba ay maaaring idagdag sa pangkalahatang Apache configuration file, httpd.conf.
Id User
Konteksto: global,
Ito ay hindi bahagi ng mod_become, ngunit ay ginagamit upang paganahin o huwag paganahin ang pag-uugali mod_become, dahil mod_become maaari lamang function kapag "root User" ay tinukoy para sa mga pangunahing configuration ng server. Kailangan mong mag-compile Apache sa -DBIG_SECURITY_HOLE upang gawin ito.
Maging user id
Maging id grupo
Konteksto: server,
Tukuyin ang mga user o grupo upang magamit sa pamamagitan ng default. Kapag ang BecomePolicy ay user-group, pagkatapos ay ang mga ito ay palaging ginagamit. Kung nabigo upang itakda ang default ng user at pangkat, at pagkatapos ng isang error 503 Service Unavailable at isang error log entry ay maaaring mangyari sa mga pangunahing configuration ng server ay dapat na ang mga halagang ito ay kinakailangan.
Policy BecomePolicy
Konteksto: global,
Tukuyin ang mga patakaran na ginagamit upang i-set ang user & grupong id ng proseso ng bata:
talaksan
Ang user & grupo ng hiniling na file ay ginagamit. Hindi inirerekumenda.
user-group
Ang grupo default user & tinukoy ay ginagamit. Ito ay katulad sa pag-uugali sa Apache core direktiba ng User at Group. Ito ang default na patakaran.
dokumento-root
Ang user & grupo ng mga dokumento ugat virtual host ng server o ginagamit.
parent-directory
Ang user & grupo ng mga magulang na direktoryo ng kahilingan ay ginagamit. Kapag tumutugma ang kahilingan sa isang direktoryo, pagkatapos ito ay ginagamit sa halip ng kanyang magulang.
BecomeRoot boolean
Konteksto: global,
Kapag totoo, mod_become payagan ang mga proseso upang patakbuhin bilang root user o grupo; sa kabilang banda isang 403 Forbidden error at isang error log entry ay magaganap kung ang proseso ay pagtatangka upang maging root user o grupo. Sa pamamagitan ng default na ito ay naka-set false
Kinakailangan .
- Apache 1.3.x
Mga Komento hindi natagpuan