Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2010-12-30 08:40:47

  Paad - Użytkownik

Paad
Użytkownik
Skąd: Częstochowa
Zarejestrowany: 2009-02-22

Apache w środowisku chrootowanym

Witam

Próbujemy z kolegą postawić serwer www. W celu jakiego zabezpieczenia wymyśliliśmy, że zamkniemy go w chroocie.
Niestety po wywołaniu polecenia

Kod:

www:/home/srv-admin# /usr/sbin/chroot /home/chrapache /usr/sbin/apache2

mam błąd:

Kod:

/usr/sbin/chroot: line 1: syntax error near unexpected token `"/home/chrapache/",'
/usr/sbin/chroot: line 1: `execve("/home/chrapache/", ["/home/chrapache/", "/usr/sbin/apache2"], [/* 17 vars */]) = -1 EACCES (Permission denied)'

niestety nie rozumiem o co chodzi, macie może jakieś pomysły?

p.s: czy wogóle takie zabezpieczenie serwera jest dobrym pomysłem czy może proponujecie coś innego?

Pozdrawiam


[url=http://www.luckysaloon.pl/]pub Częstochowa[/url] | [url=http://nova-it.eu]strony www[/url]

Offline

 

#2  2010-12-30 09:35:42

  SpeedVin - Fan Jogurtu

SpeedVin
Fan Jogurtu
Zarejestrowany: 2010-09-25
Serwis

Re: Apache w środowisku chrootowanym

Witam!
Może najpierw wejdź do chroot'a i z jego poziomu odpal dopiero apache ;)

Offline

 

#3  2010-12-30 10:51:13

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Apache w środowisku chrootowanym

Zainteresuj się skryptami jailkit lub makejail, a odpalanie apacha spróbuj zrobić tak:

Kod:

chroot /katalog-chroot  /etc/init.d/apache2 start

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2010-12-30 11:05:13

  Minio - Użyszkodnik

Minio
Użyszkodnik
Skąd: Brno, Česko
Zarejestrowany: 2007-12-22
Serwis

Re: Apache w środowisku chrootowanym

Jeśli interesuje Cię [i]security by isolation[/i], prawdopodobnie lepiej zainteresować się wirtualizacją. Wyjście z chroota wydaje się znacznie łatwiejsze niż wyjście z maszyny wirtualnej.

Przy okazji truizm: chroot czy maszyna wirtualna nie zapewnią żadnego bezpieczeństwa Apachowi. Jest to dodatkowa warstwa na którą natknie się włamywacz przy próbie penetrowania całego systemu po tym jak złamie Apacha. Jednak Twoim obowiązkiem jest niedopuszczenie do sytuacji, gdy Apache zostaje złamany.


Spinnen Essen: [url=http://fluxboxpl.org/portal/]FluxboxPL[/url] [url=http://przepis-na-lo.pl/]Przepis na LibreOffice[/url]

Offline

 

#5  2010-12-30 11:25:47

  azhag - Admin łajza

azhag
Admin łajza
Skąd: Warszawa
Zarejestrowany: 2005-11-15

Re: Apache w środowisku chrootowanym

[quote=Minio]Jeśli interesuje Cię [i]security by isolation[/i], prawdopodobnie lepiej zainteresować się wirtualizacją.[/quote]
Lub rozwiązaniem typu [deb]lxc[/deb] (coś jak jail z BSD).


Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712

Offline

 

#6  2010-12-30 13:06:23

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Apache w środowisku chrootowanym

[quote=Minio]Jeśli interesuje Cię [i]security by isolation[/i], prawdopodobnie lepiej zainteresować się wirtualizacją. Wyjście z chroota wydaje się znacznie łatwiejsze niż wyjście z maszyny wirtualnej.

Przy okazji truizm: chroot czy maszyna wirtualna nie zapewnią żadnego bezpieczeństwa Apachowi. Jest to dodatkowa warstwa na którą natknie się włamywacz przy próbie penetrowania całego systemu po tym jak złamie Apacha. Jednak Twoim obowiązkiem jest niedopuszczenie do sytuacji, gdy Apache zostaje złamany.[/quote]
Chroot ma sens wyłącznie w przypadku takiego małego [url=http://grsecurity.net/][b]drobiazgu[/b][/url]:

Kod:

grep -i chroot config*gen4
CONFIG_GRKERNSEC_CHROOT=y
CONFIG_GRKERNSEC_CHROOT_MOUNT=y
CONFIG_GRKERNSEC_CHROOT_DOUBLE=y
CONFIG_GRKERNSEC_CHROOT_PIVOT=y
CONFIG_GRKERNSEC_CHROOT_CHDIR=y
CONFIG_GRKERNSEC_CHROOT_CHMOD=y
CONFIG_GRKERNSEC_CHROOT_FCHDIR=y
CONFIG_GRKERNSEC_CHROOT_MKNOD=y
CONFIG_GRKERNSEC_CHROOT_SHMAT=y
CONFIG_GRKERNSEC_CHROOT_UNIX=y
CONFIG_GRKERNSEC_CHROOT_FINDTASK=y
CONFIG_GRKERNSEC_CHROOT_NICE=y
CONFIG_GRKERNSEC_CHROOT_SYSCTL=y
CONFIG_GRKERNSEC_CHROOT_CAPS=y
# CONFIG_GRKERNSEC_CHROOT_EXECLOG is not set

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2010-12-30 13:08:06)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.010 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00011 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00119 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.133.129.8' WHERE u.id=1
0.00074 UPDATE punbb_online SET logged=1732281655 WHERE ident='3.133.129.8'
0.00023 SELECT * FROM punbb_online WHERE logged<1732281355
0.00219 DELETE FROM punbb_online WHERE ident='3.149.253.73'
0.00049 SELECT topic_id FROM punbb_posts WHERE id=161586
0.00005 SELECT id FROM punbb_posts WHERE topic_id=18006 ORDER BY posted
0.00073 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=18006 AND t.moved_to IS NULL
0.00008 SELECT search_for, replace_with FROM punbb_censoring
0.00120 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=18006 ORDER BY p.id LIMIT 0,25
0.00089 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=18006
Total query time: 0.00794 s