Chrooting Apache2 Con mod_chroot En OpenSUSE 12.2

Versión 1.0
Autor: Falko Timme
Sígueme en Twitter

Esta guía explica cómo configurar mod_chroot con Apache2 en un sistema OpenSUSE 12.2. Con mod_chroot, puedes ejecutar Apache2 en un entorno chroot seguro y hacer que tu servidor sea menos vulnerable a intentos de intrusión que intentan explotar vulnerabilidades en Apache2 o en tus aplicaciones web instaladas.

¡No emito ninguna garantía de que esto funcionará para ti!

1 Nota Preliminar

Asumo que tienes un sistema OpenSUSE 12.2 en funcionamiento con un Apache2 operativo. Además, asumo que tienes uno o más sitios web configurados dentro del directorio /srv/www (por ejemplo, si usas ISPConfig).

2 Instalando mod_chroot

No hay un paquete mod_chroot para OpenSUSE 12.2, por lo tanto, debemos construirlo nosotros mismos. Primero instalamos los requisitos previos:

zypper install libgcc glibc-devel gcc flex lynx compat-readline4 db-devel wget gcc-c++ make vim apache2-devel

Ahora construimos mod_chroot de la siguiente manera:

cd /tmp  
wget http://core.segfault.pl/~hobbit/mod_chroot/dist/mod_chroot-0.5.tar.gz  
tar xvfz mod_chroot-0.5.tar.gz  
cd mod_chroot-0.5  
apxs2 -cia mod_chroot.c

Luego reiniciamos Apache:

systemctl restart apache2.service

3 Configurando Apache

Quiero usar el directorio /srv/www como el directorio que contiene la cárcel chroot. El Apache de OpenSUSE utiliza el archivo PID /var/run/httpd2.pid; cuando Apache está chrooted a /srv/www, /var/run/httpd2.pid se traduce a /srv/www/var/run/httpd2.pid. Por lo tanto, creamos ese directorio ahora:

mkdir -p /srv/www/var/run  
chown -R root:www /srv/www/var/run

Ahora debemos decirle a Apache que queremos usar /srv/www como nuestro directorio chroot. Abrimos /etc/apache2/httpd.conf, y justo debajo de la línea Include /etc/apache2/sysconfig.d/loadmodule.conf, agregamos la línea ChrootDir /srv/www; en la estrofa , comentamos la línea Options None y agregamos la línea Options +FollowSymLinks:

vi /etc/apache2/httpd.conf

| [...] # generado desde APACHE_MODULES en /etc/sysconfig/apache2 Include /etc/apache2/sysconfig.d/loadmodule.conf ChrootDir /srv/www [...] # prohibir el acceso a todo el sistema de archivos por defecto #Options None Options +FollowSymLinks AllowOverride None Order deny,allow Deny from all [...] |

A continuación, debemos decirle a nuestros vhosts que la raíz del documento ha cambiado (por ejemplo, un DocumentRoot /srv/www se traduce ahora a DocumentRoot /). Podemos hacer esto cambiando la directiva DocumentRoot de cada vhost, o más fácil, creando un symlink en el sistema de archivos.

3.1 Primer Método: Cambiando El DocumentRoot

Supongamos que tenemos un vhost con DocumentRoot /srv/www. Ahora debemos abrir la configuración del vhost de ese vhost y cambiar DocumentRoot /srv/www a DocumentRoot /. En consecuencia, DocumentRoot /srv/www/web1/web ahora se traduciría a DocumentRoot /web1/web, y así sucesivamente. Si deseas usar este método, debes cambiar el DocumentRoot para cada vhost individual.

3.2 Segundo Método: Creando Un Symlink En El Sistema De Archivos

Este método es más fácil, porque solo tienes que hacerlo una vez y no tienes que modificar ninguna configuración de vhost. Creamos un symlink que apunte de /srv/www/srv/www a /srv/www:

mkdir -p /srv/www/srv  
cd /srv/www/srv  
ln -s ../ www

Finalmente, debemos detener Apache, crear un symlink de /var/run/httpd2.pid a /srv/www/var/run/httpd2.pid, y volver a iniciarlo:

systemctl stop apache2.service

ln -sf /srv/www/var/run/httpd2.pid /var/run/httpd2.pid  
systemctl start apache2.service

Eso es todo. Ahora puedes llamar a tus páginas web como antes, y deberían servirse sin problemas, siempre que sean archivos HTML estáticos o usen mod_php.

Si estás usando CGI, por ejemplo, Perl, suPHP, Ruby, etc., entonces debes copiar el intérprete (por ejemplo, /usr/bin/perl, /usr/sbin/suphp, etc.) a la cárcel chroot junto con todas las bibliotecas necesarias por el intérprete. Puedes averiguar sobre las bibliotecas requeridas con el comando ldd, por ejemplo:

ldd /usr/sbin/suphp

server2:/var/www/web1/log# ldd /usr/sbin/suphp  
        linux-gate.so.1 =>  (0xffffe000)  
        libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0xb7e34000)  
        libm.so.6 => /lib/tls/i686/cmov/libm.so.6 (0xb7e0f000)  
        libgcc_s.so.1 => /lib/libgcc_s.so.1 (0xb7e03000)  
        libc.so.6 => /lib/tls/i686/cmov/libc.so.6 (0xb7cd2000)  
        /lib/ld-linux.so.2 (0xb7f23000)  
server2:/var/www/web1/log#

Si has copiado todos los archivos requeridos, pero la página aún no funciona, deberías echar un vistazo al registro de errores de Apache. Por lo general, te dice dónde está el problema. También lee http://core.segfault.pl/~hobbit/mod_chroot/caveats.html para problemas y soluciones conocidas.

4 Enlaces

mod_chroot: http://core.segfault.pl/~hobbit/mod_chroot/
Apache: http://httpd.apache.org/
OpenSUSE: http://www.opensuse.org/