Hallo, Am Sonntag, 29. Oktober 2006 22:46 schrieb Bastian Venthur: > Thorsten Schmidt wrote: > > Hallo, > > > > Am Sonntag, 29. Oktober 2006 14:51 schrieb Bastian Venthur: > >> Hi, > >> > >> gibt es eine Möglichkeit jedem User sein eigenes DAV-Verzeichnis zur > >> Verfügung zu stellen? Authentifizierung mit PAM fällt schon mal flach > >> weils zu unsicher ist, aber wenn jeder user nur ähnlich wie bei > >> public_html ein Verzeichnis anlegen müsste und dort eine .httaccess oder > >> password-Datei anlegen muss wäre das akzeptabel. > > > > Warum ist pam zu unsicher? > > PAM ansich ist erstmal nicht unsicher, aber um user-authentification > mittels PAM zu benutzen, muss man apache Leserechte auf /etc/shadow > geben, was bei kompromittiertem apache ne krasse Sicherheitslücke > darstellt. > > Ich würde ja der einfachhalthalber auch lieber PAM zur Authentifizierung > benutzen, aber was ich so gelesen habe ist das mit apache scheinbar > nicht möglich ohne Löcher ins System zu reißen.
;) - Naja, der Apache braucht natürlich Leserechte auf seine Kennwort-Datenbank. Weill man kein Pam begnügt man sich häufig mit suid'ten CGI oder nimmt bei größeren Installation ein LDAP. So kann man die Leserechte des Apache auf nicht-kritische PAM-Bereiche einschränken. > Ich frag mich allerdings wie andere Programme (ssh, dovecot, usw.) es > schaffen ohne solche Probleme aufzuwerfen. SSH läuft per default als root. Bis dene Thorsten
