今天是: 收藏本站 设为主页
网站首页 >  技术专栏  >  apache  > 

Apache 服务之 Chroot 环境设置

日期:2011-03-14  点击率:1440


请大家注意chroot是不安全的,现在已经有攻击方法,请参考wikipedia的chroot条目。现在要安装Chroot环境了,为什么要安装Chroot环境呢?因为它安全,chroot可以把进程的根目录变成不是“/”目录的其他目录。这就意味着该进程被锁定到一个虚拟文件系统的根中。如果你再适当地配置你的chroot jail,Apache和它的子进程(比如CGI脚本)将除于chroot jail环境之外不能访问其他任何东西。同时,非根进程也不能离开chroot jail环境的。(注意:从上面描述我们不难看出把设备文件,被suid的二进制文件以及硬链接放入jail是十分不明智的。原因?因为它们可以破坏 chroot jail环境)

使用chroot环境有两种方式:一则是常规方式,在该方式下你必须要十分小心地建立一个“虚拟根”,并将程序可能需要的文件给包含进来。一般说来有:

C 语言库
其他的库 (如libssl、libm及libmysqlclient等)
解析配置文件(如/etc/nsswitch.conf、/etc/resolv.conf等)
用户相关文件 (/etc/passwd, /etc/group)
为 log 文件指定目录
程序所需的附加模块(如mod_php 和 其他模块)
然后,你得运行程序,读错误信息,拷贝错失的文件,拆腾一通之后,得以运行正常。但还没完,想一下升级时的情形吧,你将不得不保持你当前的“虚拟根”,如果在libssl中有一个Bug,那么你就必须要将新版本放在两个地方。是不是有点吓着了?所幸还有另一种mod_chroot方式。 mod_chroot允许你在一个chroot jail环境里运行Apache2,而无需附加任何文件。chroot()系统会在程序开始引导时是最后被调用,因为Apache2在开始引导期间需要访问整个文件系统 - 那时所有的库文件已被引导并且日志文件也已经被打开。运行chroot jail环境中的Apache(和CGI/Perl/PHP)是很需要些技巧的。我们下面开始构造我们的chroot环境。首先安装mod-chroot

$sudo apt-get install libapache2-mod-chroot
该包会在/etc/apache2/mod-available/目录中生成一个mod_chroot.load,然后我们制作mod_chroot.conf文件:

ChrootDir /var/www
为使该模块能被引导,可以做该模块的软链接,如果想快点的话,可以用

$sudo a2enmod mod_chroot
然后为了使所有配置都得到改变,运行

$sudo /etc/init.d/apache2 force-reload
但如果这样的话,就存在一个问题,我们的DocumentRoot是/var/www的,现在虚拟根已经指向了/var/www,这样我们就必须将`DocumentRoot`修改成“/”才算正确!所以要修改/etc/apache2/sites-enabled/000-default文件

NameVirtualHost *

ServerAdmin webmaster@localhost

# DocumentRoot /var/www/
#
# Options FollowSymLinks
# AllowOverride None
#

#
# Options Indexes FollowSymLinks MultiViews
# AllowOverride None
# Order allow,deny
# allow from all
# This directive allows us to have apache2's default start page
# in /apache2-default/, but still have / go to the right place
# Commented out for Ubuntu
#RedirectMatch ^/$ /apache2-default/
#






下一篇:Apache虚拟主机指南   上一篇:RSYNC的简单配置