Módulo Apache: MPM ITK | Documentación de cPanel y WHM

Módulo Apache: MPM ITK


Última modificación: 22 de septiembre de 2021

Visión general

los mod_mpm_itk El módulo Apache hace que el proceso de Apache cambie al identificador de usuario (UID) y al identificador de grupo (GID) del propietario del dominio antes de responder a la solicitud. Esto permite a cada usuario aislar sus archivos de los demás con la configuración de permisos de archivo estándar.

Nota:

Para consultar todos los SETUID y SETGID valores en un servidor, ejecute el siguiente comando:

find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {} ;

Uso

Solamente use este módulo si ejecuta módulos que no no requieren código con reconocimiento de subprocesos.

Requisitos

Este módulo requiere EasyApache 4, Apache 2.4, MPM Prefork y el controlador PHP CGI.

Advertencia:

Nosotros fuertemente te recomiendo solamente Instala el mod_mpm_itk Módulo Apache en un sistema que ejecuta los sistemas operativos CentOS 7 u 8 o AlmaLinux OS 8 con Secure Computing Mode (seccomp v2) habilitado en el kernel. los mod_mpm_itk El módulo Apache se ejecutará en CentOS 6, pero no sea ​​tan seguro.

Compatibilidad

El módulo MPM ITK es no compatible con las siguientes funciones:

Nota:

Si selecciona el MPM ITK opción, nosotros fuertemente le recomendamos que elimine la función de protección contra la sanguijuela de las listas de funciones de sus usuarios. Utilice WHM Administrador de funciones interfaz (WHM >> Inicio >> Paquetes >> Administrador de funciones) para cambiar las listas de funciones de sus usuarios.

Restricciones de setuid () y setgid ()

El módulo MPM ITK Apache implementa restricciones sobre el uso del setuid() función y la setgid() función. Como resultado, los scripts que dependen de estas funciones pueden tener problemas. Esto incluye scripts que usan el mail() función, la shell_exec función, o la sudo mando.

Puede resolver estas restricciones con uno de los siguientes métodos:

  • No utilice el módulo Apache MPM ITK.
  • Actualice su secuencia de comandos para que ya no requiera privilegios escalados.
  • Desactive la seguridad y permita que los usuarios ejecuten scripts como root usuario. Puede permitir usuarios con UID o GID entre 0 y 4294496296 para evitar la seguridad si agrega el siguiente código a su /etc/apache2/conf.d/includes/pre_virtualhost_global.conf expediente:
    1
    2
    3
    4
    
    <IfModule mpm_itk.c>
    LimitUIDRange 0 4294496296
    LimitGIDRange 0 4294496296
    </IfModule>

Advertencia:

Nosotros fuertemente recomiendo que lo hagas no habilitar root privilegios para sus usuarios. Esta acción tiene importantes implicaciones de seguridad y podría poner en peligro su servidor.

Cómo instalar o desinstalar el módulo

Nota:

los cPanel predeterminado + MPM ITK El perfil EasyApache 4 contiene el mod_mpm_itk Módulo Apache por defecto.

En la interfaz

La forma más sencilla de instalar o desinstalar el mod_mpm_itk El módulo de Apache está con WHM EasyApache 4 interfaz (WHM >> Inicio >> Software >> EasyApache 4).

En la línea de comando

Instale el módulo

usted debe desinstale manualmente MPM Worker e instale MPM Prefork para que el módulo MPM ITK funcione correctamente. usted debe realice los siguientes pasos en la línea de comando antes de instala el módulo MPM ITK:

1
2
3
4
5
6
7
yum shell
remove ea-apache24-mod_mpm_worker
remove ea-apache24-mod_cgid
install ea-apache24-mod_mpm_prefork
install ea-apache24-mod_cgi
run
quit

Para instalar el mod_mpm_itk Módulo Apache, ejecute el siguiente comando en la línea de comandos:

yum install ea-apache24-mod_mpm_itk

Desinstalar el módulo

Para desinstalar el mod_mpm_itk Módulo Apache, ejecute el siguiente comando en la línea de comandos:

yum remove ea-apache24-mod_mpm_itk

Después de desinstalar el módulo MPM ITK, si desea utilizar MPM Worker, debe realice los siguientes pasos en la línea de comando:

1
2
3
4
5
6
7
yum shell
remove ea-apache24-mod_mpm_prefork
remove ea-apache24-mod_cgi
install ea-apache24-mod_mpm_worker
install ea-apache24-mod_cgid
run
quit

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *