Encapsulamento de Apache com chroot

rbn_jesus

E o chroot é um módulo para o apache, que possibilita a execução do apache em um ambiente encapsulado e seguro.

[ Hits: 18.789 ]

Por: Ricardo Brito do Nascimento em 28/08/2011 | Blog: http://brito.blog.incolume.com.br

0 0

Denuncie Favoritos Indicar Impressora

Introdução e Preparação do Ambiente

Introdução

Desde abril de 1996 o servidor Web Apache é o servidor web mais conhecido e utilizado no mundo.

O Apache HTTP Server ("httpd ou apache2") é um projeto da Apache Software Foundation, que pode ser encontrado na URL http://httpd.apache.org/, e utilizado livremente.

E o chroot é um módulo para o apache, que possibilita a execução do apache em um ambiente encapsulado e seguro.

O módulo chroot está incluído nos repositórios das distribuições FreeBSD, DarwinPorts, PLD Linux, Gentoo Linux, Debian e NetBSD.

Nas outras distribuições os fontes podem ser baixados em: http://core.segfault.pl/~hobbit/mod_chroot/dist, e a mais recente no momento da criação deste artigo foi http://core.segfault.pl/~hobbit/mod_chroot/dist/mod_chroot-0.5.tar.gz.

Preparando o ambiente

Criando o volume, com 100M:

# mkdir -vp /mnt/vm /httpdjail;
# dd if=/dev/zero of=/mnt/vm/httpdjail.img bs=1k seek=100k count=1;
# mke2fs /mnt/vm/httpdjail.img;
# mount -o loop,noexec,nodev,nosuid -t ext4 /mnt/vm/httpdjail.img /httpdjail;

Criando os diretórios necessários:

# mkdir -vp /httpdjail/var/www/html /httpdjail/{tmp,home} /httpdjail/var/{run,www,log} /httpdjail/var/run/{apache2,httpd};

Ou:

# mkdir -vp /httpdjail/var/{run,www};
# chown -R root.root /httpdjail/var/run;
# chmod 1777 /httpdjail/tmp;

Editando /etc/fstab:

/dev/VolGroup00/LogVol00 /                       ext3    defaults        1 1
LABEL=/boot             /boot                   ext3    defaults        1 2
tmpfs                   /dev/shm                tmpfs   defaults        0 0
devpts                  /dev/pts                devpts  gid=5,mode=620  0 0
sysfs                   /sys                    sysfs   defaults        0 0
proc                    /proc                   proc    defaults        0 0
/dev/VolGroup00/LogVol01 swap                    swap    defaults        0 0
/mnt/vm/httpdjail.img  /httpdjail      ext4    loop,nodev,noexec,nosuid       0       0

Instalando o módulo chroot no Apache através dos fontes no Debian-Like:

# aptitude install apache2-mpm-prefork apache2-threaded-dev; # wget http://core.segfault.pl/~hobbit/mod_chroot/dist/mod_chroot-0.5.tar.gz # tar -zxvf mod_chroot-0.5.tar.gz -C /tmp # apxs2 -cia /tmp/mod_chroot-0.5/mod_chroot.c

Instalação repositório Debian:

http://www.howtoforge.com/chrooting-apache2-mod-chroot-debian-etch

Instalação repositório Ubuntu:

https://wiki.ubuntu.com/ModChroot

Instalando o modulo chroot no Apache através dos fontes no RedHat-Like:

# yum install httpd-devel; # wget http://core.segfault.pl/~hobbit/mod_chroot/dist/mod_chroot-0.5.tar.gz # tar -zxvf mod_chroot-0.5.tar.gz -C /tmp # apxs -cia /tmp/mod_chroot-0.5/mod_chroot.c

Próxima página

Páginas do artigo

1. Introdução e Preparação do Ambiente
2. Configurando apache e Referências

Outros artigos deste autor

Formatando exibição de datas no Linux

CMS Plone 4.1.6 com invólucro Virtualenv + Buildout + Mount Point + BLOB Storage + Unicode UTF-8

Comando sudo - instalação e configuração

Vim com corretor ortográfico em pt_BR/es_ES/en_US

Configurando Subversion

Leitura recomendada

Instalando MultiLIB no Slackware 14.2 com Atualizações pelo GSlapt

OpenVPN em Linux

Configurando placa de som CMI8738

ARM, utilização de snapshot de pacotes no Arch Linux

LTSP 5 no Ubuntu 8.04

Comentários

[1] Comentário enviado por foxbit3r em 29/08/2011 - 14:30h

AI sim!
Isso sim que é um artigo bacana. Eu não cheguei a testar mas parabéns pela iniciativa.

0 0

[2] Comentário enviado por clebersoncs em 29/08/2011 - 14:53h

Parabéns pelo artigo.
Terei que montar novos servidores apache e vou usar esse recurso para melhorar a segurança do servidor.
Este artigo será minha principal fonte de referencia.

0 0