Serveur Web · 3 min read · Jan 02, 2026
Chrooting Apache2 Avec mod_chroot Sur Fedora 12
Chrooting Apache2 Avec mod_chroot Sur Fedora 12
Version 1.0
Auteur : Falko Timme
Suivez-moi sur Twitter
Ce guide explique comment configurer mod_chroot avec Apache2 sur un système Fedora 12. Avec mod_chroot, vous pouvez exécuter Apache2 dans un environnement chroot sécurisé et rendre votre serveur moins vulnérable aux tentatives d’intrusion qui essaient d’exploiter des vulnérabilités dans Apache2 ou vos applications web installées.
Je ne donne aucune garantie que cela fonctionnera pour vous !
1 Remarque Préliminaire
Je suppose que vous avez un système Fedora 12 en cours d’exécution avec un Apache2 fonctionnel, par exemple comme montré dans ce tutoriel : Le Serveur Parfait - Fedora 12 x86_64 [ISPConfig 2]. En plus de cela, je suppose que vous avez un ou plusieurs sites web configurés dans le répertoire /var/www (par exemple, si vous utilisez ISPConfig).
2 Installation de mod_chroot
Il n’y a pas de paquet mod_chroot pour Fedora 12, donc nous devons le construire nous-mêmes. D’abord, nous installons les prérequis :
yum groupinstall 'Development Tools'
yum groupinstall 'Development Libraries'
yum install httpd-devel
Maintenant, nous construisons mod_chroot comme suit :
cd /tmp wget http://core.segfault.pl/~hobbit/mod_chroot/dist/mod_chroot-0.5.tar.gz tar xvfz mod_chroot-0.5.tar.gz cd mod_chroot-0.5 apxs -cia mod_chroot.c
Ensuite, nous redémarrons Apache :
/etc/init.d/httpd restart
3 Configuration d’Apache
Je veux utiliser le répertoire /var/www comme le répertoire contenant la prison chroot. L’Apache de Fedora utilise le fichier PID /var/run/httpd/httpd.pid ; lorsque Apache est chrooté à /var/www, /var/run/httpd/httpd.pid se traduit par /var/www/var/run/httpd/httpd.pid. Par conséquent, nous créons ce répertoire maintenant :
mkdir -p /var/www/var/run/httpd chown -R root:apache /var/www/var/run/httpd
Maintenant, nous devons dire à Apache que nous voulons utiliser /var/www comme notre répertoire chroot. Nous ouvrons /etc/httpd/conf/httpd.conf, et juste en dessous de la ligne PidFile, nous ajoutons la ligne ChrootDir /var/www ; nous commentons également la ligne PidFile run/httpd.pid et ajoutons la ligne PidFile /var/run/httpd/httpd.pid :
vi /etc/httpd/conf/httpd.conf
| [...] # # PidFile : Le fichier dans lequel le serveur doit enregistrer son numéro # d'identification de processus lorsqu'il démarre. # #PidFile run/httpd.pid PidFile /var/run/httpd/httpd.pid ChrootDir /var/www [...] |
Ensuite, nous devons dire à nos vhosts que le document root a changé (par exemple, un DocumentRoot /var/www se traduit maintenant par DocumentRoot /). Nous pouvons le faire soit en changeant la directive DocumentRoot de chaque vhost, soit plus facilement, en créant un lien symbolique dans le système de fichiers.
3.1 Première Méthode : Changer Le DocumentRoot
Supposons que nous avons un vhost avec DocumentRoot /var/www. Nous devons maintenant ouvrir la configuration du vhost de ce vhost et changer DocumentRoot /var/www en DocumentRoot /. En conséquence, DocumentRoot /var/www/web1/web se traduira maintenant par DocumentRoot /web1/web, et ainsi de suite. Si vous souhaitez utiliser cette méthode, vous devez changer le DocumentRoot pour chaque vhost.
3.2 Deuxième Méthode : Créer Un Lien Symbolique Dans Le Système De Fichiers
Cette méthode est plus facile, car vous devez le faire une seule fois et vous n’avez pas à modifier la configuration de chaque vhost. Nous créons un lien symbolique pointant de /var/www/var/www à /var/www :
mkdir -p /var/www/var cd /var/www/var ln -s ../../ www
Enfin, nous devons arrêter Apache, supprimer le répertoire /var/run/httpd, créer un lien symbolique de /var/run/httpd à /var/www/var/run/httpd, et le redémarrer :
/etc/init.d/httpd stop
rm -fr /var/run/httpd ln -sf /var/www/var/run/httpd /var/run/httpd /etc/init.d/httpd start
C’est tout. Vous pouvez maintenant appeler vos pages web comme avant, et elles devraient être servies sans problèmes, tant qu’elles sont des fichiers HTML statiques ou utilisant mod_php.
Si vous utilisez CGI, par exemple Perl, suPHP, Ruby, etc., alors vous devez copier l’interpréteur (par exemple, /usr/bin/perl, /usr/sbin/suphp, etc.) dans la prison chroot avec toutes les bibliothèques nécessaires à l’interpréteur. Vous pouvez découvrir les bibliothèques requises avec la commande ldd, par exemple :
ldd /usr/sbin/suphp
[server2:/var/www/web1/log]# ldd /usr/sbin/suphp linux-gate.so.1 => (0xffffe000) libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0xb7e34000) libm.so.6 => /lib/tls/i686/cmov/libm.so.6 (0xb7e0f000) libgcc_s.so.1 => /lib/libgcc_s.so.1 (0xb7e03000) libc.so.6 => /lib/tls/i686/cmov/libc.so.6 (0xb7cd2000) /lib/ld-linux.so.2 (0xb7f23000) [server2:/var/www/web1/log]#
Si vous avez copié tous les fichiers requis, mais que la page ne fonctionne toujours pas, vous devriez jeter un œil au journal des erreurs d’Apache. En général, il vous indique où se trouve le problème. Lisez également http://core.segfault.pl/~hobbit/mod_chroot/caveats.html pour des problèmes connus et des solutions.
4 Liens
- mod_chroot : http://core.segfault.pl/~hobbit/mod_chroot/
- Apache : http://httpd.apache.org/
- Fedora : http://fedoraproject.org/
Recevez de nouveaux articles dans votre boîte de réception.
Aucun spam. Désabonnez-vous à tout moment.