Apache chroot

0

1

Ради безопасности решил разграничить доступ виртуальных хостов друг к другу через mpm-itk и права, а также вынести апач в chroot-окружение.

И если с первой частью все понятно и работает, то со второй возникли проблемы. Самая главная проблема: как заставить исполняться cgi-скрипты. Причем эта проблема присутствует как в mod_chroot, так и в mod_security.

Вопрос к знатокам: как это лучше всего сделать? Вариант с копированием бинарников и библиотек в окружение не предлагать.

Ссылка

←	[FreeBSD] Где мои мозги?

Репликация в MySql. Slave не подсоединяется к мастеру.

→

> разграничить доступ виртуальных хостов друг к другу через mpm-itk и права, а также вынести апач в chroot-окружение.

а зачем и то и другое? обычно делается что-то одно ради безопасности. и mpm-itk плюс 700 на каталоги и 600 на файлы - решает.

Komintern ★★★★★
(09.02.11 19:03:31 MSK)

Ответ на: комментарий от Komintern 09.02.11 19:03:31 MSK

Хочу, чтобы вирт.хосты мало того, что не могли залезть друг к другу (itk+права, это я сделал), так еще и не могли читать что-либо выше /var/www (конфиги, например).

madgnu ★★★★★
(09.02.11 19:06:48 MSK) автор топика

Ответ на: комментарий от madgnu 09.02.11 19:06:48 MSK

ну так для этого open_basedir есть.

Komintern ★★★★★
(09.02.11 19:07:57 MSK)

Ответ на: комментарий от Komintern 09.02.11 19:07:57 MSK

Ну дык оно только для php, да и дырки там периодически находят. Хочется сделать универсальное решение.

madgnu ★★★★★
(09.02.11 19:16:58 MSK) автор топика

Ответ на: комментарий от madgnu 09.02.11 19:16:58 MSK

freebsd jail :)

pekmop1024 ★★★★★
(09.02.11 19:17:31 MSK)

Ответ на: комментарий от pekmop1024 09.02.11 19:17:31 MSK

Нет уж, спасибо) Вобщем, проблему решил, хоть и не так, как хотелось бы. Сделал debootstrap минимально необходимого окружения.

madgnu ★★★★★
(09.02.11 19:23:33 MSK) автор топика

Ответ на: комментарий от madgnu 09.02.11 19:23:33 MSK

а в пхп exec и прочее запретил? :) А то я видал хостинги, где пхп-скрипт мог сделать killall -9 httpd :)

pekmop1024 ★★★★★
(09.02.11 19:30:05 MSK)

Ответ на: комментарий от pekmop1024 09.02.11 19:30:05 MSK

Да, конечно.

madgnu ★★★★★
(09.02.11 19:52:37 MSK) автор топика

Ссылка

Ответ на: комментарий от pekmop1024 09.02.11 19:30:05 MSK

> А то я видал хостинги, где пхп-скрипт мог сделать killall -9 httpd

o_0 от root-а??

Komintern ★★★★★
(09.02.11 20:12:23 MSK)

Ответ на: комментарий от Komintern 09.02.11 20:12:23 MSK

апач вряд ли жил под рутом. Потому и смогло.)

pekmop1024 ★★★★★
(09.02.11 20:19:37 MSK)

Ответ на: комментарий от pekmop1024 09.02.11 20:19:37 MSK

Ну вообще пяток процессов апача обычно от рута висит, так что вряд ли.

madgnu ★★★★★
(09.02.11 22:29:52 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[FreeBSD] Где мои мозги?

Admin

Репликация в MySql. Slave не подсоединяется к мастеру.

→

Похожие темы