Re: SSL+Dav für user?
Hallo,
Am Sonntag, 29. Oktober 2006 22:46 schrieb Bastian Venthur:
> Thorsten Schmidt wrote:
> > Hallo,
> >
> > Am Sonntag, 29. Oktober 2006 14:51 schrieb Bastian Venthur:
> >> Hi,
> >>
> >> gibt es eine Möglichkeit jedem User sein eigenes DAV-Verzeichnis zur
> >> Verfügung zu stellen? Authentifizierung mit PAM fällt schon mal flach
> >> weils zu unsicher ist, aber wenn jeder user nur ähnlich wie bei
> >> public_html ein Verzeichnis anlegen müsste und dort eine .httaccess oder
> >> password-Datei anlegen muss wäre das akzeptabel.
> >
> > Warum ist pam zu unsicher?
>
> PAM ansich ist erstmal nicht unsicher, aber um user-authentification
> mittels PAM zu benutzen, muss man apache Leserechte auf /etc/shadow
> geben, was bei kompromittiertem apache ne krasse Sicherheitslücke
> darstellt.
>
> Ich würde ja der einfachhalthalber auch lieber PAM zur Authentifizierung
> benutzen, aber was ich so gelesen habe ist das mit apache scheinbar
> nicht möglich ohne Löcher ins System zu reißen.
;) - Naja, der Apache braucht natürlich Leserechte auf seine
Kennwort-Datenbank.
Weill man kein Pam begnügt man sich häufig mit suid'ten CGI oder nimmt bei
größeren Installation ein LDAP. So kann man die Leserechte des Apache auf
nicht-kritische PAM-Bereiche einschränken.
> Ich frag mich allerdings wie andere Programme (ssh, dovecot, usw.) es
> schaffen ohne solche Probleme aufzuwerfen.
SSH läuft per default als root.
Bis dene
Thorsten
Reply to: