Безопастность. Chroot для Apache

Конфиг сервера

Это спрашивайте ТС а не меня. Я отвечал на его вопросы. И у него был вопрос по поводу доступа к сис. файлам и как это можно ограничить.

MIRhosting.com добавил 21.03.2010 в 14:04

Все понятно, только к вопросу ограничения доступа к системным файлам это не имеет отношения.

Впрочем, повторяюсь, какая-то повышенная активность пошла уже. Пусть отвечат ТС, что ему надо было а что нет. :) А то договоримся сейчас... "наш хостинг", жалко клиентов..

Меня "завело" что человек спрашивает одно, а ему все подряд отвечают что знают, а не что он спрашивает.

Что за такой "конфиг сервера"?

В том то и дело, что спрашивает. Пусть и не в названии темы. Если он считает, что ему chroot нужен для изоляции пользователей друг от друга - не нужно подкреплять это заблуждение.

Конфигурация сервера.

Intel 4, 1 gb RAM

или

Dual Xeon 5520, 4 Gb RAM

или

OpenVZ контейнер вообще..

Ну хорошо, если Вы знаете что нужно ТС - замечательно.

Я исходил из того что он написал, а не что думал. К сожалению, потерял недавно девайс для удаленного подключения к мозгу пользователей. :)

На физическом сервере ее вполне можно скрыть. Выставить права на соответствующие файлы в /proc (linux) - патчи для такого есть. Да и нужно ли скрывать подобное от клиентов?

pam используется для системных аккунтов вообше то

мой вопрос был таким

"Каким образом вы ограничиваете chroot Apache?"

Ваши ответы:

1. open_basedir - решение для ПХП (спасибо myhand что указал на опечатку)

2. "А зачем ограничивать доступ к системным файлам? Там ге надо - и так все ужато" (верно, но я хочу запереть скрипт в пределах хоста где он запущен)

3. "Запрет доступа к файлам других сайтов - реализуется для "не mod_php" - достаточно стандартными средствами. Каждому сайту - свой пользователь для скриптов. В чужой хом он не суется." (под каким пользователем будет работать Апач?)

Вот с чем я экспериментировал

1. php_admin_value open_basedir - работает доступ. скрипт запирается. Как я понял у open_basedir есть некоторые уязвимости.

2. Установил mod_security

в apache2.conf

SecChrootDir /home/www/, т.е. для мы подменяем реальный путь /home/www/ -> /

Недостатки.

а) SecChrootDir общая настройка для всех вирт хостов апача. Изолируется файловая система сервера, но файлы других сайтов остаются доступными.

б) DocumentRoot /home/www/project1 - теперь нужно писать без /home/www/ - DocumentRoot /project1, иначе не хост работать не будет

в) при перезагрузке Warning: DocumentRoot [/project1/] does not exist, но хост работает.Пути начинаются с /project1/, системный файлы недоступны

г) при перезапуске процессы апач завещаются не корректно. Приходится прибивать вручную (тут допускаю косяк сборки, хотя все ставилось из пакетов дебиана)

(98)Address already in use: make_sock: could not bind to address 92.240.70.207:80

no listening sockets available, shutting down

Unable to open logs

failed!

3. установил mod_chroot.c

http://core.segfault.pl/~hobbit/mod_chroot/

написано mod_chroot makes running Apache in a secure chroot environment easy

но пока не разобрался как заставить его работать

получается самый оптимальный вариант php_admin_value open_basedir (когда нужно запереть в докруте)?

Каково ваше мнение?

apache+suexec+chmod+chown и будет достаточно

SeLinux :)

kdj, если не даете клиентам доступ к cgi и ssh, то можете остановиться на open_basedir и не забывайте регулярно обновлять версии php.

Для авторизации. Чего угодно в чем угодно. Совершенно необязательна какая-либо связь с системными учетными записями. Специалист Вы наш :)

Виртуальный ftp-пользователь для vsftpd - это что - "системный аккаунт" какой-то?

"Pluggable authentication modules, or PAM, is a mechanism to integrate multiple low-level authentication schemes into a high-level application programming interface (API)."