Безопасность и оптимизация Linux.Редакция для Red Hat

         

Запуск Apache в chroot окружении - часть 2


Мы должны определить разделяемые библиотеки от которых зависит httpd. Их надо будет позже скопировать в chroot каталог.
Для поиска разделяемых библиотек от которых зависит httpd выполните следующую команду:
[root@deep /]# ldd /usr/sbin/httpd


libpam.so.0 => /lib/libpam.so.0 (0x40016000)


libm.so.6 => /lib/libm.so.6 (0x4001f000)


libdl.so.2 => /lib/libdl.so.2 (0x4003b000)


libcrypt.so.1 => /lib/libcrypt.so.1 (0x4003e000)


libnsl.so.1 => /lib/libnsl.so.1 (0x4006b000)


libresolv.so.2 => /lib/libresolv.so.2 (0x40081000)


libdb.so.3 => /lib/libdb.so.3 (0x40090000)


libc.so.6 => /lib/libc.so.6 (0x400cb000)


/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

Сделайте заметки об этих файлах; они потребуются нам позже.
Шаг 2

Создайте новый UID и GID, если этой же не сделано, необходимые для запуска Apache httpd. Это важно, потому что запуск из под root ликвидирует преимущества chroot окружения, а использование UID, которые уже существуют на системе (например, nobody) может дать доступ сервису к другим ресурсам. Представьте себе, что веб сервер запущен из под пользователя nobody, или любого другого используемого UID/GID и был взломан. Взломщик получит доступ из chroot к любым другим процессам запущенным как. Здесь приведены типичные UID и GID. Проверьте файлы “/etc/passwd” и “/etc/group” файлы на наличие свободных UID/GID. В нашей конфигурации мы используем значение “80” и UID/GID “www”.
[root@deep /]# useradd -c “Apache Server” -u 80 -s /bin/false -r -d /home/httpd www 2>/dev/null :

Вышеприведенная команда создаст группу “www” с числовым GID равном 80, и пользователя “www” с числовым номером UID равном 80.
Шаг 3

Установим chroot окружение. Первое, мы должны создать chroot структуру для Apache. Мы используем “/chroot/httpd” как chroot каталог для Apache. “/chroot/httpd” – это только каталог на отдельном разделе, где мы решили разместить apache для большей безопасности.
[root@deep /]# /etc/rc.d/init.d/httpd stop (только если Apache уже инсталлирован и запущен на вашей системе). Shutting down http: [ OK ]




Содержание  Назад  Вперед