Безопасность и оптимизация Linux.Редакция для Red Hat



         

Запуск Apache в chroot окружении


Эта часть фокусируется на предотвращении использования Apache как точку взлома системы. Apache по умолчанию запускается как не root пользователь, ограничивая тем самым любые разрушения, действиями, котрые может выполнить обычный пользователь с локальным shell. Конечно, в большинстве случаев такой защиты достаточно, но можно сделать еще один дополнительный шаг – запуск Apache в chroot окружении.

Основная выгода от использования chroot - это ограничение части файловой системы, которую демон может видеть как корневой каталог. Дополнительно, так как эта часть файловой системы нужна только для поддержки Apache, то количество программ доступное на ней чрезвычайно ограничено. Наиболее важно то, что здесь не нужно иметь setuid-root программ, которые можно использовать для получения root доступа и взлома chroot ограничений.

Chrooting apache – это не простая задача. Перед ее решением мы рассмотрим некоторые “за” и “против”, чтобы вы решили нужно ли вам это.

За:

    Если apache будет взломан, то атакующий не получит доступ к элементам файловой системы.

    Плохо написанные CGI скрипты, которые могут позволить кому-нибудь получить доступ к вашему серверу не будут работать.

    Против:

      Существуют дополнительные библиотеки, которые вы должны иметь в chroot окружении, чтобы Apache работал корректно.

      Если вы используете любые Perl/CGI возможности в Apache, вам нужно будетскопировать необходимые двоичные файлы, Perl библиотеки и файлы в предназначенное место chroot пространства. Тоже самое относится и к SSL, PHP, LDAP, PostgresSQL и другим программам третьих лиц.

      chroot конфигурация приведенная ниже полагает, что вы компилировали ваш сервер Apache со внешней программой mod_ssl. Различия в том, что вы компилировали с вашим веб сервером Apache постоянно находится в библиотеках и двоичных файлах, которые вы должны копировать в chroot каталог.

      Помните, что если вы компилировали Apache с поддержкой mod_perl, вы должны скопировать все связанные двоичные файлы и Perl библиотеки в chroot каталог. Perl находится в “/usr/lib/perl5” и в случае использования возможностей Perl, копируйте каталог Perl в “/chroot/httpd/usr/lib/perl5/”. Не забудьте перед копированием создать каталог “/chroot/httpd/usr/lib/perl5” в вашей chroot структуре.

      Ниже приводятся все необходимые шаги для запуска веб сервера Apache в chroot окружении:
      Шаг 1




      Содержание  Назад  Вперед