Current time: 11-16-2024, 06:39 AM Hello There, Guest! (LoginRegister)


Post Reply 
apache chrooted
Author Message
biologist Offline
Junior Member
*

Posts: 25
Joined: Mar 2009
Reputation: 0
Post: #1
apache chrooted
Ich nutze vhcs2 bereits seit mehreren Jahren und bin grade dabei auf ispcp zu wechseln. Nun ist die Sache die, dass ich apache in einer chroot-Umgebung laufen habe. Dies ist insofern nicht trivial, als das ich vhcs2 an vielen Stellen mit diversen "dirty hacks" anpassen musste.

Nun meine Frage: gibt es bei ispcp eine Möglichkeit, mit relativ einfachen Mitteln, den apache zu chrooten? Das Problem sind nicht die ganzen libs, devs, configs etc, die in so eine chroot-Umgebung gehören, sondern einfach die Tatsache, dass ispcp andere Pfade in die Apache-Config schreiben muss, als dies normalerweise der Fall wäre. Um dies nicht unnötig zu verkomplizieren, bilde ich die gleiche Verzeichnisstruktur ab. Der Gesamtpfad lautet dann jedoch: /chroot/web/apache/var/www/virtual (webroot) bzw. /chroot/web/apache/etc/apache2 (für die Config). Das chroot betrifft, nebenbei bemerkt, dann natürlich auch proftpd, da dieser auf die entsprechenden Verzeichnisse verweisen muss.
03-12-2009 04:00 AM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #2
RE: apache chrooted
Kannst Du eigentlich wenn etwas nicht passt in den templates der configs ändern.
Sollte aber passen wenn Du in der ispcp.conf vorher die Variablen richtig setzt bei
Code:
GUI_ROOT_DIR = /var/www/ispcp/gui

APACHE_WWW_DIR = /var/www/virtual

Greez BeNe
03-12-2009 05:05 PM
Visit this user's website Find all posts by this user Quote this message in a reply
biologist Offline
Junior Member
*

Posts: 25
Joined: Mar 2009
Reputation: 0
Post: #3
RE: apache chrooted
(03-12-2009 05:05 PM)BeNe Wrote:  Kannst Du eigentlich wenn etwas nicht passt in den templates der configs ändern.
Sollte aber passen wenn Du in der ispcp.conf vorher die Variablen richtig setzt bei
Code:
GUI_ROOT_DIR = /var/www/ispcp/gui

APACHE_WWW_DIR = /var/www/virtual

Greez BeNe
Das bringt mich leider nicht weiter. Problem ist ja, dass dieses apache_www_dir auch über die Templates in die Configs geschrieben wird. Wenn ich hier den chroot voranstelle, dann steht der auch in den Configs. Und dann passts nicht, denn apache sieht die Ebenen über dem chroot ja gar nicht.
03-12-2009 08:17 PM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #4
RE: apache chrooted
Dann wäre doch der Pfad bei dir:
Code:
APACHE_WWW_DIR = /chroot/web/apache/var/www/virtual
Oder nicht ? Rolleyes
Warum ist es denn nötig aus deiner sicht den Apache in eine chroot zu setzen ?
Läuft ja mit PHP als FastCGI was erstmal jeden vu-user "einsperrt"
Oder ist Dir das nicht genug ?

Greez BeNe
03-12-2009 08:22 PM
Visit this user's website Find all posts by this user Quote this message in a reply
biologist Offline
Junior Member
*

Posts: 25
Joined: Mar 2009
Reputation: 0
Post: #5
RE: apache chrooted
(03-12-2009 08:22 PM)BeNe Wrote:  Dann wäre doch der Pfad bei dir:
Code:
APACHE_WWW_DIR = /chroot/web/apache/var/www/virtual
Oder nicht ? Rolleyes
Warum ist es denn nötig aus deiner sicht den Apache in eine chroot zu setzen ?
Läuft ja mit PHP als FastCGI was erstmal jeden vu-user "einsperrt"
Oder ist Dir das nicht genug ?

Greez BeNe
Beispiel: in der der apache-config befinden sich beispielsweise DocumentRoot-Einträge, die mit /var/www/virtual anfangen. Stelle ich nun das apache_www_dir um, dann werden diese Einträge durch /chroot/web/apache/var/www/virtual ersetzt.

Das mit dem Chroot ist eine reine Vorsichtsmaßnahme. Die Angriffsfläche wird ganz einfach viel kleiner. Sei's drum: ich überlege derweil das Apache-Jail aufzulösen, da es auch schwerer wartbar ist.
03-12-2009 08:28 PM
Find all posts by this user Quote this message in a reply
ephigenie Offline
Project Leader
*******
Administrators

Posts: 1,578
Joined: Oct 2006
Reputation: 15
Post: #6
RE: apache chrooted
open_basedir hilft natürlich nur bei php.

cgi - Skripte sind da mal ganz aussen vor.
Die laufen zwar auch mit den Berechtigungen des Users - aber nicht eingeengt auf dessen Verzeichnisse.

Um da eine praktikable Lösung zu haben müsste man einen CGI-Wrapper ala sbox o.ä. benutzen. Das zumindest steht schonmal auf der Wishlist.
03-13-2009 12:35 AM
Visit this user's website Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #7
RE: apache chrooted
Oder eben FreeBSD und Jails.
Wobei wir da auch noch einiges zu tun haben Rolleyes

Greez BeNe
03-13-2009 12:43 AM
Visit this user's website Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)