apache-mod_auth_pam
Sebastian Zagrodzki
s.zagrodzki w mimuw.edu.pl
Pon, 25 Cze 2001, 17:59:29 CEST
On Mon, Jun 25, 2001 at 02:50:31AM +0200, Tomasz Orzechowski wrote:
> A teraz zgłaszam prośbę o pomoc: do poprawnego działania auth_pam wymaga
> dostępu do bazy haseł (u mnie /var/db/shadow.db) a ja *nie chcę* dawać
> praw odczytu do niej nikomu poza rootem. Jak to zrobić? Do celów
> testowych shadow.db mam root.http 640, ale to mi się nie podoba. Czy
> moduł apacza może mieć SUID root? Chętnie poprawię ten pakiet, ale
> najpierw muszę doprowadzić do sytuacji, kiedy jego użytkowanie będzie
> bezpieczne i PLD-compiliant. Jakieś pomysły?
/me napisał jakiś czas temu pam_auth_checkpasswd, który korzysta z
qmailo-zgodnego checkpasswd (/var/qmail/bin/checkpass, czy coś
takiego).
Checkpasswd jest mała, suidowana binarka, która wczytuje na deskryptorze 3
username i hasło, i ustawia kod wyjścia w zależności od tego czy hasło
jest poprawne czy nie (ten interfejs jest opisany w doumentacji w
qmailu).
Moduł apaczowy wywołuje zadaną binarkę, wpuszcza
jej na tenże deskryptor trzeci potrzebne dane podane przez usera i
sprawdza stan wyjścia.
Jakby co to mogę podesłać na priva, a jak ktoś chce to może to nawet do
naszego apacza dołączyć.
--
Sebastian Zagrodzki s.zagrodzki w mimuw.edu.pl
UIN 1770835 http://sokrates.mimuw.edu.pl/~zagrodzki
A co mnie obchodzi, co pomyślą inni...
Więcej informacji o liście dyskusyjnej pld-devel-pl