Chrooting Apache2 Mit mod_chroot Auf CentOS 5.4

Chrooting Apache2 Mit mod_chroot Auf CentOS 5.4

Version 1.0
Autor: Falko Timme
Folge mir auf Twitter

Dieser Leitfaden erklärt, wie man mod_chroot mit Apache2 auf einem CentOS 5.4 System einrichtet. Mit mod_chroot können Sie Apache2 in einer sicheren Chroot-Umgebung ausführen und Ihren Server weniger anfällig für Einbruchsversuche machen, die versuchen, Schwachstellen in Apache2 oder Ihren installierten Webanwendungen auszunutzen.

Ich gebe keine Garantie, dass dies bei Ihnen funktioniert!

1 Vorbemerkung

Ich gehe davon aus, dass Sie ein laufendes CentOS 5.4 System mit einem funktionierenden Apache2 haben, z.B. wie in diesem Tutorial gezeigt: Der Perfekte Server - CentOS 5.4 x86_64 [ISPConfig 2]. Darüber hinaus gehe ich davon aus, dass Sie eine oder mehrere Webseiten im Verzeichnis /var/www eingerichtet haben (z.B. wenn Sie ISPConfig verwenden).

2 Installation von mod_chroot

Es gibt kein mod_chroot-Paket für CentOS 5.4, daher müssen wir es selbst erstellen. Zuerst installieren wir die Voraussetzungen:

yum groupinstall 'Development Tools'

yum groupinstall 'Development Libraries'

yum install httpd-devel

Jetzt bauen wir mod_chroot wie folgt:

cd /tmp  
wget http://core.segfault.pl/~hobbit/mod_chroot/dist/mod_chroot-0.5.tar.gz  
tar xvfz mod_chroot-0.5.tar.gz  
cd mod_chroot-0.5  
apxs -cia mod_chroot.c

Dann starten wir Apache neu:

/etc/init.d/httpd restart

3 Konfiguration von Apache

Ich möchte das Verzeichnis /var/www als das Verzeichnis verwenden, das das Chroot-Gefängnis enthält. Der Apache von CentOS verwendet die PID-Datei /var/run/httpd.pid; wenn Apache in /var/www chrooted ist, wird /var/run/httpd.pid zu /var/www/var/run/httpd.pid. Daher erstellen wir dieses Verzeichnis jetzt:

mkdir -p /var/www/var/run  
chown -R root:apache /var/www/var/run

Jetzt müssen wir Apache mitteilen, dass wir /var/www als unser Chroot-Verzeichnis verwenden möchten. Wir öffnen /etc/httpd/conf/httpd.conf und fügen direkt unter der Zeile PidFile die Zeile ChrootDir /var/www hinzu; kommentieren Sie auch die Zeile PidFile run/httpd.pid aus und fügen Sie die Zeile PidFile /var/run/httpd.pid hinzu:

vi /etc/httpd/conf/httpd.conf

| [...] # # PidFile: Die Datei, in der der Server seine Prozess- # identifikationsnummer aufzeichnen sollte, wenn er startet. # #PidFile run/httpd.pid PidFile /var/run/httpd.pid ChrootDir /var/www [...] |

Als nächstes müssen wir unseren vhosts mitteilen, dass sich das Dokumentenstammverzeichnis geändert hat (zum Beispiel wird ein DocumentRoot /var/www jetzt zu DocumentRoot /). Wir können dies entweder tun, indem wir die DocumentRoot-Direktive jedes vhosts ändern, oder einfacher, indem wir einen Symlink im Dateisystem erstellen.

3.1 Erste Methode: Ändern des DocumentRoot

Angenommen, wir haben einen vhost mit DocumentRoot /var/www. Wir müssen jetzt die vhost-Konfiguration dieses vhosts öffnen und DocumentRoot /var/www in DocumentRoot / ändern. Dementsprechend würde DocumentRoot /var/www/web1/web jetzt zu DocumentRoot /web1/web übersetzt werden, und so weiter. Wenn Sie diese Methode verwenden möchten, müssen Sie den DocumentRoot für jeden einzelnen vhost ändern.

3.2 Zweite Methode: Erstellen eines Symlinks im Dateisystem

Diese Methode ist einfacher, da Sie es nur einmal tun müssen und keine vhost-Konfiguration ändern müssen. Wir erstellen einen Symlink, der von /var/www/var/www auf /var/www zeigt:

mkdir -p /var/www/var  
cd /var/www/var  
ln -s ../../ www

Schließlich müssen wir Apache stoppen, einen Symlink von /var/run/httpd.pid zu /var/www/var/run/httpd.pid erstellen und ihn erneut starten:

/etc/init.d/httpd stop

ln -sf /var/www/var/run/httpd.pid /var/run/httpd.pid  
/etc/init.d/httpd start

Das war’s. Sie können jetzt Ihre Webseiten wie zuvor aufrufen, und sie sollten ohne Probleme bereitgestellt werden, solange es sich um statische HTML-Dateien oder um mod_php handelt.

Wenn Sie CGI verwenden, z.B. Perl, suPHP, Ruby usw., müssen Sie den Interpreter (z.B. /usr/bin/perl, /usr/sbin/suphp usw.) zusammen mit allen Bibliotheken, die der Interpreter benötigt, in das Chroot-Gefängnis kopieren. Sie können mit dem Befehl ldd herausfinden, welche Bibliotheken benötigt werden, z.B.

ldd /usr/sbin/suphp

[server2:/var/www/web1/log]# ldd /usr/sbin/suphp  
        linux-gate.so.1 =>  (0xffffe000)  
        libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0xb7e34000)  
        libm.so.6 => /lib/tls/i686/cmov/libm.so.6 (0xb7e0f000)  
        libgcc_s.so.1 => /lib/libgcc_s.so.1 (0xb7e03000)  
        libc.so.6 => /lib/tls/i686/cmov/libc.so.6 (0xb7cd2000)  
        /lib/ld-linux.so.2 (0xb7f23000)  
[server2:/var/www/web1/log]#

Wenn Sie alle erforderlichen Dateien kopiert haben, die Seite jedoch immer noch nicht funktioniert, sollten Sie sich das Apache-Fehlerprotokoll ansehen. In der Regel sagt es Ihnen, wo das Problem liegt. Lesen Sie auch http://core.segfault.pl/~hobbit/mod_chroot/caveats.html für bekannte Probleme und Lösungen.

4 Links

• mod_chroot: http://core.segfault.pl/~hobbit/mod_chroot/
• Apache: http://httpd.apache.org/
• CentOS: http://www.centos.org/