WCM Forum - debian etch und Apache 2.2 mit PAM

WCM Forum (http://www.wcm.at/forum/index.php)

- Linux, UNIX, Open Source (http://www.wcm.at/forum/forumdisplay.php?f=13)

- - debian etch und Apache 2.2 mit PAM (http://www.wcm.at/forum/showthread.php?t=224737)

void	11.11.2007 22:49

debian etch und Apache 2.2 mit PAM

hallo!

ich möchte mit PAM und .htaccess ein verzeichnis mit den standard sytem usern schützen.

irgendwie kommt immer ein "PAM: user 'xxxxx' - not authenticated: Authentication failure" (/var/log/apache2/error.log) bzw. "apache2: (pam_unix) authentication failure; logname= uid=33 euid=33 tty= ruser= rhost=xxx.xxx.xxx.xxxg user=xxxxx" (/var/log/auth.log)

ich habe das gefühl, dass PAM nicht richtig konfiguriert ist, bzw, dass ich irgendwo die erlaubten user angeben muss?!?

kennt jemand ein howto bzw. kann mir weiterhelfen?

CM²S	12.11.2007 02:24

hmmm...

wenns stimmt, try this

blog mod_pam_auth

Alternativ
dies hier...

oder normale Useraccounts ins Ldap transferieren und dann mit mod_ldap einbinden.

ciao
CM²S

void	12.11.2007 03:27

also: aus mir unerklärlichen gründen benötigt der aufrufende user (in diesem fall der apache-user) leserechte auf die shadow-datei (/etc/shadow)...
ich finde das ein wenig unsicher :rolleyes:
(bzw. kann man es ja über gruppen lösen)

dann bleibt noch als alternative libapache2-mod-auth-shadow/testing

@CM²S
1) danke, habe ich mir schon angesehen
2) werde ich mir morgen (oder so ;)) ansehen...

void	12.11.2007 16:24

ich habe jetzt www-data der gruppe shadow hinzugefügt. damit hat der apache jetzt leserechte auf die datei /etc/shadow ...
ist das jetzt "gefährlich"? wenn ja, wie kann ich das sicher machen bzw. wie kann es mir genau gefährlich werden? was läuft alles unter dem user www-data (php,...?)

CM²S	13.11.2007 01:59

hmm...

finde ich nicht gut.....

ich würde nicht mit systemusern arbeiten...

es gibt noch so viele andere möglichkeiten

mod_auth_dbm oder mysql oder einfach ein .htpasswd file

oder einfach nochmal lesen was der apache 2.x alles anbietet...

ciao
CM²S

void	13.11.2007 13:27

Re: hmm...

Zitat:

Original geschrieben von CM²S
finde ich nicht gut.....

ich würde nicht mit systemusern arbeiten...

warum genau? :look:

m@rio

13.11.2007 14:30

Re: Re: hmm...

Zitat:

Original geschrieben von void
warum genau? :look:

Weil die Trennung von System- und Webuser sicherheitstechnisch durchaus Sinn macht. Ein Systemuser darf ja auch andere Dinge. Vor allem wenn man bei der Konfiguration mal einen Fehler macht (ihm zB eine Shell gibt).

void	13.11.2007 15:09

okay, ich mache keine trennung, denn ein konfig-fehler zieht immer konsequenzen mit sich...

ich werde später wahrscheinlich LDAP einsetzen: wenn ich da einem webuser (oder wem auch immer "irrtümlich" eine shell erlaube, kommt es aufs selbe hinaus ;)

CM²S	13.11.2007 20:53

naja...

systemuser haben oft mehr rechte als user die in einer htpasswd drin stehen.

sollte es einen user geben der seine passwörter am monitor kleben hat oder anderswo,ist http password = systenpassword

ciao
CM²S

void	13.11.2007 23:54

okay, okay - ich bin halt von der falschen seite herangegangen:
im grunde will ich single sign on, und systemuser werden die ausnahme sein...
nur, am anfang sind halt immer noch die systemuser :lol: - da habe ich halt gleich die genommen.

Alle Zeitangaben in WEZ +2. Es ist jetzt 11:17 Uhr.