ماژول mod_become وب سرور را قادر می سازد به در حقوق دسترسی یک کاربر و گروه، به طوری که کاربران می توانند فایل ~ دسترس به وب بدون نیاز به آنها را توسط جهان قابل خواندن در فایل سیستم محلی را. این می تواند برای سایت های با تعداد زیادی از کاربرانی که می خواهید به درخواست کنترل دسترسی به فایل در میان خود مفید است. این ماژول همچنین می توانید به میزبان های مجازی، دایرکتوری ها، و مکان های اعمال شود.
هنگامی که سرور با "ریشه کاربر" (امنیت را ببینید) پیکربندی، و سپس این ماژول رفتار خواهد کرد که هر چند دستور "MaxRequestsPerChild 1" برای سرور و "KeepAlive خاموش" تنظیم شد برای سرور و هر میزبان مجازی کشیده شد که در آن یک mod_become بخشنامه نظر می رسد، که در اصل به سرور و کسانی که میزبان های مجازی به HTTP / 1.0 رفتار محدود می کند.
بنابراین، برای هر درخواست، این ماژول از نوع setuid خواهد () و setgid () روند رسیدگی به درخواست بر اساس یکی از سیاست های مشخص شده زیر وارد نمایید. هنگامی که درخواست تکمیل شده است، روند منقضی خواهد شد. سرور پدر و مادر مسئول برای تخم ریزی یک فرایند فرزند جدید که مسئولیت رسیدگی به هر گونه درخواست آینده خواهد بود.
منبع می تواند وارد به استفاده از seteuid () و setegid () به جای نوع setuid () و setgid () (بالای makefile در مراجعه کنید)، اما نمی باشد به طور پیش فرض. استفاده از seteuid () و setegid () می تواند preformance به اجتناب از نیاز به کشتن روند کودک آپاچی بین درخواست را بهبود بخشد، اما آن را لازم مسائل امنیتی قابل توجه است. به عنوان مثال ماژول مانند mod_php و mod_perl که ارائه رابط های برنامه کاربردی به seteuid () و setegid ()، می تواند مورد استفاده قرار گیرد برای تبدیل شدن به یک بار دیگر با کاربر root و انجام آنچه که تا کنون آنها می خواهند.
اساسا هر ماژول است که بخشی از فضای پردازش Apache می تواند برگرداندن به کاربر ریشه در صورتی که استفاده از seteuid () و setegid (). توصیه می شود که در mod_php، mod_perl به، و دیگر ماژول ها زبان است که این API ها غیر فعال شود. CGIs که به عنوان یک فرایند جداگانه توسط آپاچی راه اندازی باید، در تئوری، در امان باشند، از موثر کاربر و گروه ID تبدیل شدن به کاربر واقعی و ID گروهی از پروسه فرزند و بنابراین نمی توانند به ریشه برگرداندن (اگر من درک می کنم همه چیز به درستی) .
پیکر بندی
دستورات زیر را می توان به طور کلی فایل پیکربندی آپاچی، httpd.conf را اضافه شده است.
شناسه کاربر
متن: جهانی، عبارت "VirtualHost>
این است که نه بخشی از mod_become، اما استفاده شده است برای فعال یا غیر فعال کردن رفتار mod_become، از mod_become تنها می تواند عملکرد زمانی که "ریشه کاربر" برای پیکربندی سرور اصلی مشخص شده است. شما نیاز به کامپایل آپاچی با -DBIG_SECURITY_HOLE به منظور انجام این کار.
شناسه کاربر تبدیل
شناسه گروه تبدیل
متن: سرور، عبارت "VirtualHost>، <دایرکتوری>، <مکان>
مشخص کاربر یا گروه را به طور پیش فرض مورد استفاده قرار گیرد. هنگامی که BecomePolicy کاربر گروه است، و سپس این همیشه استفاده خواهد شد. اگر پیکربندی سرور اصلی نتواند به مجموعه ای از پیش فرض کاربر و گروه، سپس خطا 503 سرویس در دسترس نیست و یک خطای ورودی ممکن است رخ دهد باید این ارزش ها مورد نیاز است.
سیاست BecomePolicy
متن: جهانی، عبارت "VirtualHost>، <دایرکتوری>، <مکان>
مشخص سیاست مورد استفاده برای تنظیم کاربر و گروه IDS از پروسه فرزند:
پرونده
کاربر و گروهی از فایل درخواست شده استفاده می شود. نه توصیه کند.
کاربر گروه
کاربر و گروه پیش فرض مشخص شده استفاده می شود. این در رفتار به آپاچی دستورات هسته کاربر و گروه مشابه است. این سیاست به طور پیش فرض است.
سند ریشه
کاربر و گروهی از ریشه سند میزبان مجازی در سرور و یا استفاده شده است.
پدر و مادر دایرکتوری
کاربر و گروهی از دایرکتوری درخواست استفاده شده است. زمانی که درخواست مربوط به یک دایرکتوری، سپس آن را به جای پدر و مادر خود استفاده می شود.
بولی BecomeRoot
متن: جهانی، عبارت "VirtualHost>، <دایرکتوری>، <مکان>
وقتی درست است، mod_become اجازه خواهد داد که روند به عنوان کاربر ریشه یا گروه کار. در غیر این صورت یک خطای ممنوعه 403 و یک خطای ورود ورود رخ خواهد داد اگر روند تلاش برای تبدیل شدن به کاربر ریشه یا گروه. به طور پیش فرض این است که مجموعه ای نادرست
در مورد نیاز:.
1.3.x در آپاچی
نظر یافت نشد