Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2010-12-30 08:40:47
Paad - 
Użytkownik
- Paad
- Użytkownik
- Skąd: Częstochowa
- Zarejestrowany: 2009-02-22
Apache w środowisku chrootowanym
Witam
Próbujemy z kolegą postawić serwer www. W celu jakiego zabezpieczenia wymyśliliśmy, że zamkniemy go w chroocie.
Niestety po wywołaniu polecenia
Kod:
www:/home/srv-admin# /usr/sbin/chroot /home/chrapache /usr/sbin/apache2
mam błąd:
Kod:
/usr/sbin/chroot: line 1: syntax error near unexpected token `"/home/chrapache/",'
/usr/sbin/chroot: line 1: `execve("/home/chrapache/", ["/home/chrapache/", "/usr/sbin/apache2"], [/* 17 vars */]) = -1 EACCES (Permission denied)'niestety nie rozumiem o co chodzi, macie może jakieś pomysły?
p.s: czy wogóle takie zabezpieczenie serwera jest dobrym pomysłem czy może proponujecie coś innego?
Pozdrawiam
Offline
#2 2010-12-30 09:35:42
SpeedVin - Fan Jogurtu
#3 2010-12-30 10:51:13
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Apache w środowisku chrootowanym
Zainteresuj się skryptami jailkit lub makejail, a odpalanie apacha spróbuj zrobić tak:
Kod:
chroot /katalog-chroot /etc/init.d/apache2 start
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#4 2010-12-30 11:05:13
Minio - Użyszkodnik
Re: Apache w środowisku chrootowanym
Jeśli interesuje Cię security by isolation, prawdopodobnie lepiej zainteresować się wirtualizacją. Wyjście z chroota wydaje się znacznie łatwiejsze niż wyjście z maszyny wirtualnej.
Przy okazji truizm: chroot czy maszyna wirtualna nie zapewnią żadnego bezpieczeństwa Apachowi. Jest to dodatkowa warstwa na którą natknie się włamywacz przy próbie penetrowania całego systemu po tym jak złamie Apacha. Jednak Twoim obowiązkiem jest niedopuszczenie do sytuacji, gdy Apache zostaje złamany.
Offline
#5 2010-12-30 11:25:47
azhag - Admin łajza
- azhag
- Admin łajza
- Skąd: Warszawa
- Zarejestrowany: 2005-11-15
Re: Apache w środowisku chrootowanym
Minio napisał(-a):
Jeśli interesuje Cię security by isolation, prawdopodobnie lepiej zainteresować się wirtualizacją.
Lub rozwiązaniem typu lxc (coś jak jail z BSD).
Błogosławieni, którzy czynią FAQ.
opencaching :: debian sources.list :: coś jakby blog :: polski portal debiana :: linux user #403712
Offline
#6 2010-12-30 13:06:23
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Apache w środowisku chrootowanym
Minio napisał(-a):
Jeśli interesuje Cię security by isolation, prawdopodobnie lepiej zainteresować się wirtualizacją. Wyjście z chroota wydaje się znacznie łatwiejsze niż wyjście z maszyny wirtualnej.
Przy okazji truizm: chroot czy maszyna wirtualna nie zapewnią żadnego bezpieczeństwa Apachowi. Jest to dodatkowa warstwa na którą natknie się włamywacz przy próbie penetrowania całego systemu po tym jak złamie Apacha. Jednak Twoim obowiązkiem jest niedopuszczenie do sytuacji, gdy Apache zostaje złamany.
Chroot ma sens wyłącznie w przypadku takiego małego drobiazgu:
Kod:
grep -i chroot config*gen4 CONFIG_GRKERNSEC_CHROOT=y CONFIG_GRKERNSEC_CHROOT_MOUNT=y CONFIG_GRKERNSEC_CHROOT_DOUBLE=y CONFIG_GRKERNSEC_CHROOT_PIVOT=y CONFIG_GRKERNSEC_CHROOT_CHDIR=y CONFIG_GRKERNSEC_CHROOT_CHMOD=y CONFIG_GRKERNSEC_CHROOT_FCHDIR=y CONFIG_GRKERNSEC_CHROOT_MKNOD=y CONFIG_GRKERNSEC_CHROOT_SHMAT=y CONFIG_GRKERNSEC_CHROOT_UNIX=y CONFIG_GRKERNSEC_CHROOT_FINDTASK=y CONFIG_GRKERNSEC_CHROOT_NICE=y CONFIG_GRKERNSEC_CHROOT_SYSCTL=y CONFIG_GRKERNSEC_CHROOT_CAPS=y # CONFIG_GRKERNSEC_CHROOT_EXECLOG is not set
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2010-12-30 13:08:06)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline