Instalar e Configurar Auth Shadow no Debian/Ubuntu

Aviso

Este método de instalação e configuração funciona para mim, usando uma combinação de apt e compilação a partir do código-fonte. Portanto, pode existir um método mais fácil. Sempre verifique o software que você está instalando a partir do apt usando

apt-cache showpkg pkgname

para versão e dependências. Como de costume, sua experiência pode variar e você prossegue por sua conta e risco.

Pré-requisitos

Você deve ter uma instalação funcional do apache ou apache2 e entender os conceitos envolvidos em reiniciar o servidor, habilitar módulos e a localização e formato dos arquivos de configuração, por exemplo, httpd.conf ou apache2.conf.

Contexto

Auth Shadow ou mod-auth-shadow é um módulo para apache (e apache2, de certa forma) que permite autenticação contra /etc/shadow. Os benefícios são que qualquer usuário do sistema com uma senha pode ser autenticado para web_dav, subversion ou simplesmente um servidor https. A única outra maneira de fazer isso é com PAM. Esse método é perigoso porque o usuário apache (www-data no meu caso) deve ser capaz de ler /etc/shadow. Obviamente, não é uma boa ideia. Auth Shadow realiza isso de forma segura usando um programa intermediário chamado validate. Isso funciona porque validate pode ser propriedade do root, mas executável por todos. No caso de seu servidor ser comprometido através do apache, seu arquivo de senhas não será legível.

Instalação

Oficialmente, mod-auth-shadow só existe para apache e não para apache2. Eu não estava disposto a aceitar isso. Vou demonstrar a instalação no debian/ubuntu usando apt para apache. Para apache2, tive que encontrar uma compilação do módulo para x86. Isso apresenta dois problemas. Primeiro, a versão mais nova ainda não foi construída e segundo, a versão que foi construída (em um arquivo .rpm) contém um bug no programa “validate” causando erros de uid.

Download - Apenas Apache2

Baixe o rpm para sua arquitetura de rpmfind.net - downloads.

Baixe o código-fonte mais recente (para compilar validate) do sourceforge aqui.

Instalar módulo

Apache:

sudo apt-get install libapache-mod-auth-shadow

Apache2:

Para instalar um módulo de um .rpm, você deve instalar alien.

sudo apt-get install alien

A partir daqui, você pode instalar o rpm fazendo

sudo alien -i packagename.rpm

Compilar Validate - Apenas Apache2

No diretório contendo o código-fonte para mod-auth-shadow, compile com

sudo make validate

sudo cp validate /usr/sbin

Isso deve ser feito como root porque as permissões são alteradas.

Carregando o Módulo Auth Shadow

O Apache deve ser tratado automaticamente pelo apt-get install.

O Apache2 requer que nós

sudo a2enmod auth_shadow

Configurando Apache(2)

Onde quer que suas configurações para diretórios, localizações ou hosts virtuais estejam, tente modificar a seguinte configuração para atender às suas necessidades. Apenas os requisitos básicos estão incluídos neste exemplo.

Além disso, eu não recomendaria usar AuthType Basic sem ssl porque as senhas serão enviadas em texto claro.

  
AuthType Basic  
AuthShadow on  
AuthName "Login Seguro contra Senhas de Usuário"  
Require user system-username  
#Require user valid-user  
Order allow,deny  
Allow from all