Безопасность и оптимизация Linux.Редакция для Red Hat




Запуск Apache в chroot окружении - часть 5



[root@deep /]# cp /etc/hosts /chroot/httpd/etc/


[root@deep /]# cp /etc/nsswitch.conf /chroot/httpd/etc/

Шаг 8

Сейчас на некоторые файлы в chroot окружении мы установим бит “постоянства” для лучшей безопасности.
Установите бит “постоянства” на файл “passwd”:
[root@deep /]# cd /chroot/httpd/etc/


[root@deep /]# chattr +i passwd

Установите бит “постоянства” на файл “group”:
[root@deep /]# cd /chroot/httpd/etc/


[root@deep /]# chattr +i group

Установите бит “постоянства” на файл “httpd.conf”:
[root@deep /]# cd /chroot/httpd/etc/httpd/conf/


[root@deep /]# chattr +i httpd.conf

Установите бит “постоянства” на файл “resolv.conf”:
[root@deep /]# cd /chroot/httpd/etc/


[root@deep /]# chattr +i resolv.conf

Установите бит “постоянства” на файл “hosts”:
[root@deep /]# cd /chroot/httpd/etc/


[root@deep /]# chattr +i hosts

Установите бит “постоянства” на файл “nsswitch.conf”:
[root@deep /]# cd /chroot/httpd/etc/


[root@deep /]# chattr +i nsswitch.conf

Шаг 9

Копируйте файл “localtime” в chroot так, чтобы регистрационные входы были правильно откорректированы для вашей локальной timezone:
[root@deep /]# cp /etc/localtime /chroot/httpd/etc/

Шаг 10

Удалите не нужные Apache файлы и каталоги:
[root@deep /]# rm -rf /var/log/httpd/


[root@deep /]# rm -rf /etc/httpd/


[root@deep /]# rm -rf /home/httpd/


[root@deep /]# rm -f /usr/sbin/httpd

Мы можем спокойно удалить все вышеназванные файлы и каталоги , так как они сейчас находятся в нашем chroot каталоге.
Шаг 11.

Сказать syslogd о новом chroot сервисе. Нормально, процессы обращаются к syslogd через “/dev/log”. В chroot окружении это невозможно, поэтому syslogd должен слушать “/chroot/httpd/dev/log”. Чтобы сделать это, редактируйте скрипт запуска syslog для определения дополнительного места, которое необходимо слушать.

Редактируйте скрипт syslog (vi /etc/rc.d/init.d/syslog) и измените строку:

daemon syslogd -m 0


на:
daemon syslogd -m 0 -a /chroot/httpd/dev/log


Шаг 12

По умолчанию скрипт httpd запускает демон “httpd” вне chroot окружения. Мы должны изменить это, для этого редактируйте скрипт httpd (vi /etc/rc.d/init.d/httpd) и измените следующие строки:

daemon httpd




Содержание  Назад  Вперед