[Subject Prev][Subject Next][Thread Prev][Thread Next][Subject Index][Thread Index]

[webdav-jp:0329] ユーザ毎の認証と SetUID

To: webdav-jp@xxxxxxxx
Subject: [webdav-jp:0329] ユーザ毎の認証と SetUID
From: Mutsuyoshi Masaharu <masaharu@xxxxxxxxxxxxxx>
Date: Wed, 17 Apr 2002 16:22:03 +0900
Delivered-to: webdav-jp@begi.net
Organization: Private
Posted: Wed, 17 Apr 2002 16:22:00 +0900
References: <3CB52F09.3ABB0605@mutsuyoshi.net> <20020416184155miyaket@mva.biglobe.ne.jp>

睦好と申します。

　Segmentation Fault の件では、皆様に大変お世話になりました。mod_dav
自体は快調に動いております。

　いろいろ設定を試みて気がついたのですが、mod_dav って、apache の実行
権限でファイルアクセスするのですね。マルチユーザーで使うフォルダーと
して、使うことを考えていたので、使えないやぁ〜と一瞬匙を投げかけまし
た。しかし、気を取り直して考えました。

　apache を root 権限で動かせば、SetUIDをすることは可能なようですが、
今使っている apacheに適用するのはセキュリティ的にまずい。

　さてどうしよう？と工夫した結果、以下のように別の領域に、apache を
設定し、動作させることができました。

  ユーザー数は、httpd.conf に記述できる範囲なら大丈夫そうです。

1-a CFLAGS に -DBIG_SECURITY_HOLE をつける形で再コンパイルし、現在
    運用中のapacheとは独立したディレクトリにインストールする。
 -b この apache は、User root で動かす。
 -d 80ポート以外をListenする。
 -e ユーザー毎に VirtualHOST を設定し、mod_auth_shadow による認証と
    mod_become で、setuid する。
 -e 念のため、下の項で設定する現在運用中の Apache の Proxy 以外のリク
    エストは応えないようにする。

2-a 現在使用している apache は、mod_proxy を有効にし、DAVを動かすURL
    にリクエストがあった場合は、上記の<VirtualHost>にリダイレクト
    する。

　要するに、WebDAV に認証をかけて、ユーザー毎のホームディレクトリ
のように設定したいのです。
　他にもっと良い方法があるよ〜とか、このやり方では、セキュリティ的に
マズイとか、お知恵をいただければ幸いです。

---
睦好正治
masaharu@xxxxxxxxxxxxxx

References:
- [webdav-jp:0312] Segmentation Fault
  - From: Mutsuyoshi Masaharu
- [webdav-jp:0328] ソースを改造後にすべきこと
  - From: chinone

Prev by Subject: [webdav-jp:0328] ソースを改造後にすべきこと
Next by Subject: [webdav-jp:0330] Windows2000 で「有効ではないようです」
Previous by thread: [webdav-jp:0328] ソースを改造後にすべきこと
Next by thread: [webdav-jp:0331] Re: ソースを改造後にすべきこと
Index(es):
- Subject
- Thread