+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+--- Thread: apache chrooted (/thread-6023.html)
apache chrooted - biologist - 03-12-2009 04:00 AM
Ich nutze vhcs2 bereits seit mehreren Jahren und bin grade dabei auf ispcp zu wechseln. Nun ist die Sache die, dass ich apache in einer chroot-Umgebung laufen habe. Dies ist insofern nicht trivial, als das ich vhcs2 an vielen Stellen mit diversen "dirty hacks" anpassen musste.
Nun meine Frage: gibt es bei ispcp eine Möglichkeit, mit relativ einfachen Mitteln, den apache zu chrooten? Das Problem sind nicht die ganzen libs, devs, configs etc, die in so eine chroot-Umgebung gehören, sondern einfach die Tatsache, dass ispcp andere Pfade in die Apache-Config schreiben muss, als dies normalerweise der Fall wäre. Um dies nicht unnötig zu verkomplizieren, bilde ich die gleiche Verzeichnisstruktur ab. Der Gesamtpfad lautet dann jedoch: /chroot/web/apache/var/www/virtual (webroot) bzw. /chroot/web/apache/etc/apache2 (für die Config). Das chroot betrifft, nebenbei bemerkt, dann natürlich auch proftpd, da dieser auf die entsprechenden Verzeichnisse verweisen muss.
RE: apache chrooted - BeNe - 03-12-2009 05:05 PM
Kannst Du eigentlich wenn etwas nicht passt in den templates der configs ändern.
Sollte aber passen wenn Du in der ispcp.conf vorher die Variablen richtig setzt bei
Code:
GUI_ROOT_DIR = /var/www/ispcp/gui
APACHE_WWW_DIR = /var/www/virtualGreez BeNe
RE: apache chrooted - biologist - 03-12-2009 08:17 PM
(03-12-2009 05:05 PM)BeNe Wrote: Kannst Du eigentlich wenn etwas nicht passt in den templates der configs ändern.Das bringt mich leider nicht weiter. Problem ist ja, dass dieses apache_www_dir auch über die Templates in die Configs geschrieben wird. Wenn ich hier den chroot voranstelle, dann steht der auch in den Configs. Und dann passts nicht, denn apache sieht die Ebenen über dem chroot ja gar nicht.
Sollte aber passen wenn Du in der ispcp.conf vorher die Variablen richtig setzt bei
Code:
GUI_ROOT_DIR = /var/www/ispcp/gui
APACHE_WWW_DIR = /var/www/virtual
Greez BeNe
RE: apache chrooted - BeNe - 03-12-2009 08:22 PM
Dann wäre doch der Pfad bei dir:
Code:
APACHE_WWW_DIR = /chroot/web/apache/var/www/virtual
Warum ist es denn nötig aus deiner sicht den Apache in eine chroot zu setzen ?
Läuft ja mit PHP als FastCGI was erstmal jeden vu-user "einsperrt"
Oder ist Dir das nicht genug ?
Greez BeNe
RE: apache chrooted - biologist - 03-12-2009 08:28 PM
(03-12-2009 08:22 PM)BeNe Wrote: Dann wäre doch der Pfad bei dir:Beispiel: in der der apache-config befinden sich beispielsweise DocumentRoot-Einträge, die mit /var/www/virtual anfangen. Stelle ich nun das apache_www_dir um, dann werden diese Einträge durch /chroot/web/apache/var/www/virtual ersetzt.
Oder nicht ?Code:
APACHE_WWW_DIR = /chroot/web/apache/var/www/virtual
Warum ist es denn nötig aus deiner sicht den Apache in eine chroot zu setzen ?
Läuft ja mit PHP als FastCGI was erstmal jeden vu-user "einsperrt"
Oder ist Dir das nicht genug ?
Greez BeNe
Das mit dem Chroot ist eine reine Vorsichtsmaßnahme. Die Angriffsfläche wird ganz einfach viel kleiner. Sei's drum: ich überlege derweil das Apache-Jail aufzulösen, da es auch schwerer wartbar ist.
RE: apache chrooted - ephigenie - 03-13-2009 12:35 AM
open_basedir hilft natürlich nur bei php.
cgi - Skripte sind da mal ganz aussen vor.
Die laufen zwar auch mit den Berechtigungen des Users - aber nicht eingeengt auf dessen Verzeichnisse.
Um da eine praktikable Lösung zu haben müsste man einen CGI-Wrapper ala sbox o.ä. benutzen. Das zumindest steht schonmal auf der Wishlist.
RE: apache chrooted - BeNe - 03-13-2009 12:43 AM
Oder eben FreeBSD und Jails.
Wobei wir da auch noch einiges zu tun haben
Greez BeNe