Chrooting Apache2 Avec mod_chroot Sur CentOS 5.4

Chrooting Apache2 Avec mod_chroot Sur CentOS 5.4

Version 1.0
Auteur : Falko Timme
Suivez-moi sur Twitter

Ce guide explique comment configurer mod_chroot avec Apache2 sur un système CentOS 5.4. Avec mod_chroot, vous pouvez exécuter Apache2 dans un environnement chroot sécurisé et rendre votre serveur moins vulnérable aux tentatives d’intrusion qui tentent d’exploiter des vulnérabilités dans Apache2 ou vos applications web installées.

Je ne donne aucune garantie que cela fonctionnera pour vous !

1 Remarque Préliminaire

Je suppose que vous avez un système CentOS 5.4 en cours d’exécution avec un Apache2 fonctionnel, par exemple comme montré dans ce tutoriel : Le Serveur Parfait - CentOS 5.4 x86_64 [ISPConfig 2]. En plus de cela, je suppose que vous avez un ou plusieurs sites web configurés dans le répertoire /var/www (par exemple, si vous utilisez ISPConfig).

2 Installation de mod_chroot

Il n’y a pas de paquet mod_chroot pour CentOS 5.4, donc nous devons le construire nous-mêmes. Tout d’abord, nous installons les prérequis :

yum groupinstall 'Development Tools'

yum groupinstall 'Development Libraries'

yum install httpd-devel

Maintenant, nous construisons mod_chroot comme suit :

cd /tmp  
wget http://core.segfault.pl/~hobbit/mod_chroot/dist/mod_chroot-0.5.tar.gz  
tar xvfz mod_chroot-0.5.tar.gz  
cd mod_chroot-0.5  
apxs -cia mod_chroot.c

Ensuite, nous redémarrons Apache :

/etc/init.d/httpd restart

3 Configuration d’Apache

Je veux utiliser le répertoire /var/www comme le répertoire contenant la prison chroot. L’Apache de CentOS utilise le fichier PID /var/run/httpd.pid ; lorsque Apache est chrooté à /var/www, /var/run/httpd.pid se traduit par /var/www/var/run/httpd.pid. Par conséquent, nous créons ce répertoire maintenant :

mkdir -p /var/www/var/run  
chown -R root:apache /var/www/var/run

Maintenant, nous devons dire à Apache que nous voulons utiliser /var/www comme notre répertoire chroot. Nous ouvrons /etc/httpd/conf/httpd.conf, et juste en dessous de la ligne PidFile, nous ajoutons la ligne ChrootDir /var/www ; nous commentons également la ligne PidFile run/httpd.pid et ajoutons la ligne PidFile /var/run/httpd.pid :

vi /etc/httpd/conf/httpd.conf

| [...] # # PidFile : Le fichier dans lequel le serveur doit enregistrer son numéro # d'identification de processus lorsqu'il démarre. # #PidFile run/httpd.pid PidFile /var/run/httpd.pid ChrootDir /var/www [...] |

Ensuite, nous devons dire à nos vhosts que le document root a changé (par exemple, un DocumentRoot /var/www se traduit maintenant par DocumentRoot /). Nous pouvons le faire soit en changeant la directive DocumentRoot de chaque vhost, soit plus facilement, en créant un lien symbolique dans le système de fichiers.

3.1 Première Méthode : Changer Le DocumentRoot

Supposons que nous avons un vhost avec DocumentRoot /var/www. Nous devons maintenant ouvrir la configuration du vhost de ce vhost et changer DocumentRoot /var/www en DocumentRoot /. En conséquence, DocumentRoot /var/www/web1/web se traduira maintenant par DocumentRoot /web1/web, et ainsi de suite. Si vous souhaitez utiliser cette méthode, vous devez changer le DocumentRoot pour chaque vhost.

3.2 Deuxième Méthode : Créer Un Lien Symbolique Dans Le Système De Fichiers

Cette méthode est plus facile, car vous devez le faire une seule fois et vous n’avez pas à modifier la configuration de chaque vhost. Nous créons un lien symbolique pointant de /var/www/var/www à /var/www :

mkdir -p /var/www/var  
cd /var/www/var  
ln -s ../../ www

Enfin, nous devons arrêter Apache, créer un lien symbolique de /var/run/httpd.pid à /var/www/var/run/httpd.pid, et le redémarrer :

/etc/init.d/httpd stop

ln -sf /var/www/var/run/httpd.pid /var/run/httpd.pid  
/etc/init.d/httpd start

C’est tout. Vous pouvez maintenant appeler vos pages web comme auparavant, et elles devraient être servies sans problèmes, tant qu’elles sont des fichiers HTML statiques ou utilisent mod_php.

Si vous utilisez CGI, par exemple Perl, suPHP, Ruby, etc., alors vous devez copier l’interpréteur (par exemple, /usr/bin/perl, /usr/sbin/suphp, etc.) dans la prison chroot avec toutes les bibliothèques nécessaires à l’interpréteur. Vous pouvez découvrir les bibliothèques requises avec la commande ldd, par exemple :

ldd /usr/sbin/suphp

[server2:/var/www/web1/log]# ldd /usr/sbin/suphp  
        linux-gate.so.1 =>  (0xffffe000)  
        libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0xb7e34000)  
        libm.so.6 => /lib/tls/i686/cmov/libm.so.6 (0xb7e0f000)  
        libgcc_s.so.1 => /lib/libgcc_s.so.1 (0xb7e03000)  
        libc.so.6 => /lib/tls/i686/cmov/libc.so.6 (0xb7cd2000)  
        /lib/ld-linux.so.2 (0xb7f23000)  
[server2:/var/www/web1/log]#

Si vous avez copié tous les fichiers requis, mais que la page ne fonctionne toujours pas, vous devriez jeter un œil au journal des erreurs d’Apache. En général, il vous indique où se trouve le problème. Lisez également http://core.segfault.pl/~hobbit/mod_chroot/caveats.html pour des problèmes connus et des solutions.

4 Liens

• mod_chroot : http://core.segfault.pl/~hobbit/mod_chroot/
• Apache : http://httpd.apache.org/
• CentOS : http://www.centos.org/