Apache wirklich in einen root jail?

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Apache wirklich in einen root jail?

    Hey,

    mich beschäftigt derzeit die Frage ob es wirklich etwas bringt, Apache in einem root jail hausen zu lassen.

    Ich denke mal: Ja, wenn man selbiges auch entsprechend pflegt.
    Mir graut es aber davor, ein Lauffähiges Apache2 mit php5, mysql und und und sauber in einen chroot zu setzen.

    Es ist doch irgendwie ein Rückschritt, wenn ich alte, unsichere Bibliotheken in einem jail habe. So wird meine Website doch viel leichter ein Ziel. Lieber halte ich mein System über die APT aktuell und habe dafür ohne Probleme auch alles hochaktuell und sicher zur Verfügung. Oder Irre ich da?

    Gruß,
    Dominic

    EDIT: Ich merk, gerade Coding allgemein ist nicht das Richtige Board (so gut kenn ich mich noch nicht aus ;)) - währe ein Moderator so nett es zu verschieben?
    My lovely mister singing club...

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Dominic ()

  • Das Problem, nicht aktuelle Versionen einsetzen zu müssen (wenn man sie nicht pflegt), sehe ich nicht. Eine Debian-Beispiel-Howto zeigt Dir wie: debian.org/doc/manuals/securin…chroot-apache-env.de.html

    Ich zitiere kurz:
    Ich mag das, da es so nicht sehr schwierig ist, das Gefängnis einzurichten, und der Server mit nur zwei Zeilen aktualisiert werden kann:

    Quellcode

    1. apt-get update && apt-get install apache
    2. makejail /etc/makejail/apache.py

  • die Anleitung sieht leider ziemlich alt aus. Debian 3.0.

    Ich glaube ich würde zu mod_chroot raten. Das gibt es inzwischen als Debian Paket und du musst nicht die gesamte Verzeichnisstruktur pflegen.
    Eine detaillierte Anleitung zu Debian Etch gibt es hier: howtoforge.com/chrooting-apache2-mod-chroot-debian-etch

    Außerdem ist die Projektseite bestimmt interessant: core.segfault.pl/~hobbit/mod_chroot/

  • sendmal in der chroot?
    Ich würde so wenig wie möglich Systemkomponenten nutzen und dir daher auch empfehlen auf eine SMTP Variante (z.B. via phpmailer) umzusteigen.

    Ansonsten habe ich leider noch keine Erfahrungen mit mod_chroot gesammelt. Es gibt viele Anleitungen im Netz, die leider alle nicht wartbar wirken.
    Daran, dass es so wenig gute Literatur gibt, kannst du aber auch sehen, dass ein chrooted Apache ziemlich außergewöhnlich ist.

    Ich weiß, dass der Apache bei OpenBSD schon per default in einer chroot Umgebung installiert wird, dazu findest du mehr Informationen hier: 10.16 - Tell me about this chroot(2) Apache?

  • Naja,

    wenn's nach mir ginge würde ich kein jail erstellen. Lieber würde ich cron-apt einrichten um mir Aktualisierungen mitteilen zu lassen. Vorerst ist es aber gewünscht den Apache auf dem Server in einen Jail zu stopfen. Ich hoffe mal dass sich das nicht zu schwierig gestaltet. Ich hab ziemlich viel dran hängen. PHP (mit APC), MySQL, Imagick und irgendwie muss ich dann noch Emails verschicken können (mal schaun, wie)...
    Ich will natürlich nicht einfach mal alles mögliche Kopieren was mir verdächtig vorkommt - sonst währe der Sinn eines Jails ja verfehlt. Aber dann ständig festzustellen (worst case: im laufenden betrieb kommen Fehler auf und Sicherheit ist nicht gewährt) das irgendetwas noch im Jail fehlt nerft einfach nur.

    Mir kommt gerade noch die Idee einfach XAMPP zu nehmen und in ein Jail zu stopfen. Gibt es eine neue Version, kann man einfach mal ein Update machen - nur wie das mit der Konfiguration und Basissicherheit ist, weiß ich nicht. Es stört mich zum Beispiel schon dass sehr viel Dabei ist was ich nicht brauche (z.B. proftpd) was dann einfach nur Datenmüll auf der so schon recht kleinen HDD ist und weitere "Risiken" birgt (wenn ich etwas nicht brauche, installiere ich es nicht. Ist es dennoch installiert werde ich es kaum pflegen...)

    So Long,
    Dominic
    My lovely mister singing club...