debian etch und Apache 2.2 mit PAM

void · 11.11.2007, 22:49

hallo!

ich möchte mit PAM und .htaccess ein verzeichnis mit den standard sytem usern schützen.

irgendwie kommt immer ein "PAM: user 'xxxxx' - not authenticated: Authentication failure" (/var/log/apache2/error.log) bzw. "apache2: (pam_unix) authentication failure; logname= uid=33 euid=33 tty= ruser= rhost=xxx.xxx.xxx.xxxg user=xxxxx" (/var/log/auth.log)

ich habe das gefühl, dass PAM nicht richtig konfiguriert ist, bzw, dass ich irgendwo die erlaubten user angeben muss?!?

kennt jemand ein howto bzw. kann mir weiterhelfen?

CM²S · 12.11.2007, 02:24

wenns stimmt, try this

blog mod_pam_auth

Alternativ
dies hier...

oder normale Useraccounts ins Ldap transferieren und dann mit mod_ldap einbinden.

ciao
CM²S

void · 12.11.2007, 03:27

also: aus mir unerklärlichen gründen benötigt der aufrufende user (in diesem fall der apache-user) leserechte auf die shadow-datei (/etc/shadow)...
ich finde das ein wenig unsicher

(bzw. kann man es ja über gruppen lösen)

dann bleibt noch als alternative libapache2-mod-auth-shadow/testing

@CM²S
1) danke, habe ich mir schon angesehen
2) werde ich mir morgen (oder so

) ansehen...

void · 12.11.2007, 16:24

ich habe jetzt www-data der gruppe shadow hinzugefügt. damit hat der apache jetzt leserechte auf die datei /etc/shadow ...
ist das jetzt "gefährlich"? wenn ja, wie kann ich das sicher machen bzw. wie kann es mir genau gefährlich werden? was läuft alles unter dem user www-data (php,...?)

CM²S · 13.11.2007, 01:59

finde ich nicht gut.....

ich würde nicht mit systemusern arbeiten...

es gibt noch so viele andere möglichkeiten

mod_auth_dbm oder mysql oder einfach ein .htpasswd file

oder einfach nochmal lesen was der apache 2.x alles anbietet...

ciao
CM²S

void · 13.11.2007, 13:27

Zitat:

Original geschrieben von CM²S
finde ich nicht gut.....

ich würde nicht mit systemusern arbeiten...

warum genau?

m@rio · 13.11.2007, 14:30

Zitat:

Original geschrieben von void
warum genau?

Weil die Trennung von System- und Webuser sicherheitstechnisch durchaus Sinn macht. Ein Systemuser darf ja auch andere Dinge. Vor allem wenn man bei der Konfiguration mal einen Fehler macht (ihm zB eine Shell gibt).

void · 13.11.2007, 15:09

okay, ich mache keine trennung, denn ein konfig-fehler zieht immer konsequenzen mit sich...

ich werde später wahrscheinlich LDAP einsetzen: wenn ich da einem webuser (oder wem auch immer "irrtümlich" eine shell erlaube, kommt es aufs selbe hinaus

CM²S · 13.11.2007, 20:53

systemuser haben oft mehr rechte als user die in einer htpasswd drin stehen.

sollte es einen user geben der seine passwörter am monitor kleben hat oder anderswo,ist http password = systenpassword

ciao
CM²S

void · 13.11.2007, 23:54

okay, okay - ich bin halt von der falschen seite herangegangen:
im grunde will ich single sign on, und systemuser werden die ausnahme sein...
nur, am anfang sind halt immer noch die systemuser

- da habe ich halt gleich die genommen.

11.11.2007, 22:49	#1
void Hero Registriert seit: 26.07.2001 Ort: Wien Beiträge: 811	debian etch und Apache 2.2 mit PAM hallo! ich möchte mit PAM und .htaccess ein verzeichnis mit den standard sytem usern schützen. irgendwie kommt immer ein "PAM: user 'xxxxx' - not authenticated: Authentication failure" (/var/log/apache2/error.log) bzw. "apache2: (pam_unix) authentication failure; logname= uid=33 euid=33 tty= ruser= rhost=xxx.xxx.xxx.xxxg user=xxxxx" (/var/log/auth.log) ich habe das gefühl, dass PAM nicht richtig konfiguriert ist, bzw, dass ich irgendwo die erlaubten user angeben muss?!? kennt jemand ein howto bzw. kann mir weiterhelfen? ____________________________________ nobody is perfect

12.11.2007, 02:24	#2
CM²S Elite Registriert seit: 27.03.2000 Ort: Wien Alter: 55 Beiträge: 1.168	hmmm... wenns stimmt, try this blog mod_pam_auth Alternativ dies hier... oder normale Useraccounts ins Ldap transferieren und dann mit mod_ldap einbinden. ciao CM²S ____________________________________ \"wann amoi de blaun denen grean an rodn dewich ausroin, daunn siach i schwoaz\" Gedicht aus \"Eigfleischte Wegetaria und aundare meakwürdikeiten, Andreas Nastl http://lichtschwarz.tv

12.11.2007, 03:27	#3
void Hero Registriert seit: 26.07.2001 Ort: Wien Beiträge: 811	also: aus mir unerklärlichen gründen benötigt der aufrufende user (in diesem fall der apache-user) leserechte auf die shadow-datei (/etc/shadow)... ich finde das ein wenig unsicher (bzw. kann man es ja über gruppen lösen) dann bleibt noch als alternative libapache2-mod-auth-shadow/testing @CM²S 1) danke, habe ich mir schon angesehen 2) werde ich mir morgen (oder so ) ansehen... ____________________________________ nobody is perfect

12.11.2007, 16:24	#4
void Hero Registriert seit: 26.07.2001 Ort: Wien Beiträge: 811	ich habe jetzt www-data der gruppe shadow hinzugefügt. damit hat der apache jetzt leserechte auf die datei /etc/shadow ... ist das jetzt "gefährlich"? wenn ja, wie kann ich das sicher machen bzw. wie kann es mir genau gefährlich werden? was läuft alles unter dem user www-data (php,...?) ____________________________________ nobody is perfect

13.11.2007, 01:59	#5
CM²S Elite Registriert seit: 27.03.2000 Ort: Wien Alter: 55 Beiträge: 1.168	hmm... finde ich nicht gut..... ich würde nicht mit systemusern arbeiten... es gibt noch so viele andere möglichkeiten mod_auth_dbm oder mysql oder einfach ein .htpasswd file oder einfach nochmal lesen was der apache 2.x alles anbietet... ciao CM²S ____________________________________ \"wann amoi de blaun denen grean an rodn dewich ausroin, daunn siach i schwoaz\" Gedicht aus \"Eigfleischte Wegetaria und aundare meakwürdikeiten, Andreas Nastl http://lichtschwarz.tv

13.11.2007, 15:09	#8
void Hero Registriert seit: 26.07.2001 Ort: Wien Beiträge: 811	okay, ich mache keine trennung, denn ein konfig-fehler zieht immer konsequenzen mit sich... ich werde später wahrscheinlich LDAP einsetzen: wenn ich da einem webuser (oder wem auch immer "irrtümlich" eine shell erlaube, kommt es aufs selbe hinaus ____________________________________ nobody is perfect

13.11.2007, 20:53	#9
CM²S Elite Registriert seit: 27.03.2000 Ort: Wien Alter: 55 Beiträge: 1.168	naja... systemuser haben oft mehr rechte als user die in einer htpasswd drin stehen. sollte es einen user geben der seine passwörter am monitor kleben hat oder anderswo,ist http password = systenpassword ciao CM²S ____________________________________ \"wann amoi de blaun denen grean an rodn dewich ausroin, daunn siach i schwoaz\" Gedicht aus \"Eigfleischte Wegetaria und aundare meakwürdikeiten, Andreas Nastl http://lichtschwarz.tv

13.11.2007, 23:54	#10
void Hero Registriert seit: 26.07.2001 Ort: Wien Beiträge: 811	okay, okay - ich bin halt von der falschen seite herangegangen: im grunde will ich single sign on, und systemuser werden die ausnahme sein... nur, am anfang sind halt immer noch die systemuser - da habe ich halt gleich die genommen. ____________________________________ nobody is perfect

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)