Installieren und Konfigurieren von Auth Shadow auf Debian/Ubuntu

Vorbehalt

Diese Methode der Installation und Konfiguration funktioniert für mich, unter Verwendung einer Kombination aus apt und dem Erstellen aus dem Quellcode. Daher kann eine einfachere Methode existieren. Überprüfen Sie immer die Software, die Sie über apt installieren, mit

apt-cache showpkg pkgname

auf Version und Abhängigkeiten. Wie üblich kann Ihre Erfahrung variieren und Sie handeln auf eigenes Risiko.

Voraussetzungen

Sie müssen eine funktionierende Apache- oder Apache2-Installation haben und die Konzepte verstehen, die mit dem Neustart des Servers, dem Aktivieren von Modulen und dem Standort und Format von Konfigurationsdateien, z. B. httpd.conf oder apache2.conf, verbunden sind.

Hintergrund

Auth Shadow oder mod-auth-shadow ist ein Modul für Apache (und Apache2, sozusagen), das die Authentifizierung gegen /etc/shadow ermöglicht. Der Vorteil ist, dass jeder Systembenutzer mit einem Passwort für web_dav, Subversion oder einfach einen HTTPS-Server authentifiziert werden kann. Der einzige andere Weg, dies zu tun, ist mit PAM. Diese Methode ist gefährlich, da der Apache-Benutzer (www-data in meinem Fall) in der Lage sein muss, /etc/shadow zu lesen. Offensichtlich keine gute Idee. Auth Shadow erreicht dies sicher, indem es ein Zwischenprogramm namens validate verwendet. Dies funktioniert, weil validate von root besessen, aber von jedem ausführbar sein kann. Im Falle eines Kompromisses Ihres Servers über Apache wird Ihre Passwortdatei nicht lesbar sein.

Installation

Offiziell existiert mod-auth-shadow nur für Apache und nicht für Apache2. Ich war nicht bereit, dies zu akzeptieren. Ich werde die Installation auf Debian/Ubuntu mit apt für Apache demonstrieren. Für Apache2 musste ich einen Build des Moduls für x86 finden. Dies stellt zwei Probleme dar. Erstens wurde die neueste Version noch nicht erstellt und zweitens enthält die Version, die erstellt wurde (in einer .rpm-Datei), einen Fehler im “validate”-Programm, der uid-Fehler verursacht.

Download - Nur Apache2

Laden Sie die rpm für Ihre Architektur von rpmfind.net - Downloads herunter.

Laden Sie den neuesten Quellcode (zum Kompilieren von validate) von Sourceforge hier herunter.

Modul installieren

Apache:

sudo apt-get install libapache-mod-auth-shadow

Apache2:

Um ein Modul aus einer .rpm zu installieren, müssen Sie alien installieren.

sudo apt-get install alien

Von hier aus können Sie die rpm installieren, indem Sie

sudo alien -i packagename.rpm

Validate kompilieren - Nur Apache2

Im Verzeichnis, das den Quellcode für mod-auth-shadow enthält, kompilieren Sie mit

sudo make validate

sudo cp validate /usr/sbin

Dies muss als root durchgeführt werden, da die Berechtigungen geändert werden.

Laden des Auth Shadow Moduls

Apache sollte automatisch von apt-get install behandelt werden.

Apache2 erfordert von uns

sudo a2enmod auth_shadow

Konfigurieren von Apache(2)

Wo auch immer sich Ihre Konfigurationen für Verzeichnisse, Standorte oder virtuelle Hosts befinden, versuchen Sie, die folgende Konfiguration an Ihre Bedürfnisse anzupassen. Nur die grundlegenden Anforderungen sind in diesem Beispiel enthalten.

Darüber hinaus würde ich nicht empfehlen, AuthType Basic ohne ssl zu verwenden, da die Passwörter im Klartext gesendet werden.

  
AuthType Basic  
AuthShadow on  
AuthName "Sicherer Login gegen Benutzerpasswörter"  
Require user system-username  
#Require user valid-user  
Order allow,deny  
Allow from all