LINUX.ORG.RU
ФорумWeb-development

nginx Auth PAM

 ,


0

2

Добрый день!

Решил выставить наружу для личного пользования некоторые сервисы. Просто так не хочется, а поскольку они все разные и на разных портах - хочу использовать nginx proxy_pass для доступа к ним.

Однако встаёт вопрос безопасности и тут есть 2 варианта авторизации пользователей:

  • nginx basic auth - простая авторизация по логину и паролю из списка. Минус: надо держать отдельный список
  • nginx auth PAM - авторизация по имени пользователя и паролю системы. Минусы: надо собирать самому (Арч) и страшно. Одно дело, если кто-то посмотрит мои торренты, репозитории и прочее, другое, если получит логин/пароль от ssh.

    Кто-то пользовался вторым вариантом? Не боитесь за свой сервер?

★★★★★

nginx basic auth - простая авторизация по логину и паролю из списка. Минус: надо держать отдельный список

И кто мешает держать этот отдельный список? Создаётся обычным htpasswd

nginx auth PAM - авторизация по имени пользователя и паролю системы. Минусы: надо собирать самому (Арч) и страшно. Одно дело, если кто-то посмотрит мои торренты, репозитории и прочее, другое, если получит логин/пароль от ssh.

Хочешь чтобы тебя успокоили? :) Да пользуйся, что мне, жалко что ли? Кому ты нужен кроме китайских ботов

Хотя лично я не стал бы использовать авторизацию через pam при доступе из интернета

router ★★★★★
()
Ответ на: комментарий от router

Хочу, чтобы успокоили :) просто в инете дофига мануалов, как это заставить работать, вот и решил узнать мнение коллектива...

Раз не успокоили - придётся, видимо, держать отдельный список.

vitruss ★★★★★
() автор топика
Ответ на: комментарий от trofk

Как я понял для deb-based оно есть по умолчанию. У меня в арче собралось легко: скачал PKGBUILD для стандартного пакета nginx, дописал в исходники ссылку на tar.gz с модулем, его md5 и 

--add-module=../ngx_http_auth_pam_module-1.3
Дальше всё собралось само. Если что, мой PKGBUILD тут: http://pastebin.com/NcWTjAQ6

vitruss ★★★★★
() автор топика
Последнее исправление: vitruss (всего исправлений: 1)
Ответ на: комментарий от vitruss

--add-module=../ngx_http_auth_pam_module-1.3

Да это ещё и сторонний модуль... ИМХО, если в nginx чего-то не хватает, стоит задуматься об использовании апач.

Апач - универсальный комбайн, и поэтому у него не всё хорошо с производительностью. А nginx заточен как легковесный reverse proxy. Если к нему начать прикручивать костыли и подпорки, рано или поздно он станет работать не быстрее индейца.

router ★★★★★
()
Ответ на: комментарий от trofk

Попробовал - поставил пакет, добавил пользователя http, под которым работает nginx в группу root (для чтения /etc/shadow), добавил /etc/shadow права, что бы его могла читать группа root. Создал /etc/pam.d/nginx: 

auth    required     /lib/security/pam_unix.so
account required     /lib/security/pam_unix.so
Поправил конфиг и перезапустил nginx. Всё работает.

Только оставлять не буду. Лучше сделаю простой список с отдельными паролями...

vitruss ★★★★★
() автор топика
Ответ на: комментарий от vitruss

Хм... Видимо я делал не так. Спасибо, почему-то считал что там надо догемороиться гораздо дольше.

trofk ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Web-development