apache chrooted

[biologist]

Ich nutze vhcs2 bereits seit mehreren Jahren und bin grade dabei auf ispcp zu wechseln. Nun ist die Sache die, dass ich apache in einer chroot-Umgebung laufen habe. Dies ist insofern nicht trivial, als das ich vhcs2 an vielen Stellen mit diversen "dirty hacks" anpassen musste.

Nun meine Frage: gibt es bei ispcp eine Möglichkeit, mit relativ einfachen Mitteln, den apache zu chrooten? Das Problem sind nicht die ganzen libs, devs, configs etc, die in so eine chroot-Umgebung gehören, sondern einfach die Tatsache, dass ispcp andere Pfade in die Apache-Config schreiben muss, als dies normalerweise der Fall wäre. Um dies nicht unnötig zu verkomplizieren, bilde ich die gleiche Verzeichnisstruktur ab. Der Gesamtpfad lautet dann jedoch: /chroot/web/apache/var/www/virtual (webroot) bzw. /chroot/web/apache/etc/apache2 (für die Config). Das chroot betrifft, nebenbei bemerkt, dann natürlich auch proftpd, da dieser auf die entsprechenden Verzeichnisse verweisen muss.

[BeNe]

Kannst Du eigentlich wenn etwas nicht passt in den templates der configs ändern.
Sollte aber passen wenn Du in der ispcp.conf vorher die Variablen richtig setzt bei

Code:

GUI_ROOT_DIR = /var/www/ispcp/gui

APACHE_WWW_DIR = /var/www/virtual

Greez BeNe

[biologist]

(03-12-2009 05:05 PM)BeNe Wrote:  Kannst Du eigentlich wenn etwas nicht passt in den templates der configs ändern.
Sollte aber passen wenn Du in der ispcp.conf vorher die Variablen richtig setzt bei

Code:

GUI_ROOT_DIR = /var/www/ispcp/gui

APACHE_WWW_DIR = /var/www/virtual

Greez BeNe

Das bringt mich leider nicht weiter. Problem ist ja, dass dieses apache_www_dir auch über die Templates in die Configs geschrieben wird. Wenn ich hier den chroot voranstelle, dann steht der auch in den Configs. Und dann passts nicht, denn apache sieht die Ebenen über dem chroot ja gar nicht.

[BeNe]

Dann wäre doch der Pfad bei dir:

Code:

APACHE_WWW_DIR = /chroot/web/apache/var/www/virtual

Oder nicht ?
Warum ist es denn nötig aus deiner sicht den Apache in eine chroot zu setzen ?
Läuft ja mit PHP als FastCGI was erstmal jeden vu-user "einsperrt"
Oder ist Dir das nicht genug ?

Greez BeNe

[biologist]

(03-12-2009 08:22 PM)BeNe Wrote:  Dann wäre doch der Pfad bei dir:

Code:

APACHE_WWW_DIR = /chroot/web/apache/var/www/virtual

Oder nicht ?
Warum ist es denn nötig aus deiner sicht den Apache in eine chroot zu setzen ?
Läuft ja mit PHP als FastCGI was erstmal jeden vu-user "einsperrt"
Oder ist Dir das nicht genug ?

Greez BeNe

Beispiel: in der der apache-config befinden sich beispielsweise DocumentRoot-Einträge, die mit /var/www/virtual anfangen. Stelle ich nun das apache_www_dir um, dann werden diese Einträge durch /chroot/web/apache/var/www/virtual ersetzt.

Das mit dem Chroot ist eine reine Vorsichtsmaßnahme. Die Angriffsfläche wird ganz einfach viel kleiner. Sei's drum: ich überlege derweil das Apache-Jail aufzulösen, da es auch schwerer wartbar ist.

[ephigenie]

open_basedir hilft natürlich nur bei php.

cgi - Skripte sind da mal ganz aussen vor.
Die laufen zwar auch mit den Berechtigungen des Users - aber nicht eingeengt auf dessen Verzeichnisse.

Um da eine praktikable Lösung zu haben müsste man einen CGI-Wrapper ala sbox o.ä. benutzen. Das zumindest steht schonmal auf der Wishlist.

[BeNe]

Oder eben FreeBSD und Jails.
Wobei wir da auch noch einiges zu tun haben

Greez BeNe