Apache Chroot · 3 min read · Dec 26, 2025
Chrooting Apache2 Con mod_chroot Su Debian Lenny
Chrooting Apache2 Con mod_chroot Su Debian Lenny
Versione 1.0
Autore: Falko Timme
Seguimi su Twitter
Questa guida spiega come impostare mod_chroot con Apache2 su un sistema Debian Lenny. Con mod_chroot, puoi eseguire Apache2 in un ambiente chroot sicuro e rendere il tuo server meno vulnerabile a tentativi di intrusione che cercano di sfruttare vulnerabilità in Apache2 o nelle tue applicazioni web installate.
Non fornisco alcuna garanzia che questo funzionerà per te!
1 Nota Preliminare
Presumo che tu abbia un sistema Debian Lenny in esecuzione con un Apache2 funzionante, ad esempio come mostrato in questo tutorial: The Perfect Server - Debian Lenny (Debian 5.0) [ISPConfig 2]. Inoltre, presumo che tu abbia uno o più siti web configurati all’interno della directory /var/www (ad esempio, se utilizzi ISPConfig).
2 Installazione di mod_chroot
Per installare mod_chroot, eseguiamo semplicemente:
aptitude install libapache2-mod-chroot
Poi abilitiamo mod_chroot e riavviamo Apache:
a2enmod mod_chroot /etc/init.d/apache2 restart
3 Configurazione di Apache
Voglio usare la directory /var/www come la directory contenente la prigione chroot. L’Apache di Debian utilizza il file PID /var/run/apache2.pid; quando Apache è chrooted in /var/www, /var/run/apache2.pid si traduce in /var/www/var/run/apache2.pid. Pertanto, creiamo ora quella directory:
mkdir -p /var/www/var/run chown -R root:root /var/www/var/run
Ora dobbiamo dire ad Apache che vogliamo usare /var/www come nostra directory chroot. Apriamo /etc/apache2/apache2.conf e subito sotto la riga PidFile, aggiungiamo una riga ChrootDir:
vi /etc/apache2/apache2.conf
| [...] # # PidFile: Il file in cui il server dovrebbe registrare il suo numero # di identificazione del processo quando si avvia. # Questo deve essere impostato in /etc/apache2/envvars # PidFile ${APACHE_PID_FILE} ChrootDir /var/www [...] |
Successivamente dobbiamo dire ai nostri vhosts che la radice del documento è cambiata (ad esempio, un DocumentRoot /var/www si traduce ora in DocumentRoot /). Possiamo farlo cambiando la direttiva DocumentRoot di ogni vhost, oppure più facilmente, creando un symlink nel file system.
3.1 Primo Metodo: Cambiare Il DocumentRoot
Supponiamo di avere un vhost con DocumentRoot /var/www. Dobbiamo ora aprire la configurazione del vhost di quel vhost e cambiare DocumentRoot /var/www in DocumentRoot /. Di conseguenza, DocumentRoot /var/www/web1/web si tradurrebbe ora in DocumentRoot /web1/web, e così via. Se vuoi usare questo metodo, devi cambiare il DocumentRoot per ogni singolo vhost.
3.2 Secondo Metodo: Creare Un Symlink Nel File System
Questo metodo è più semplice, perché devi farlo solo una volta e non devi modificare alcuna configurazione del vhost. Creiamo un symlink che punta da /var/www/var/www a /var/www:
mkdir -p /var/www/var cd /var/www/var ln -s ../../ www
Infine, dobbiamo fermare Apache, creare un symlink da /var/run/apache2.pid a /var/www/var/run/apache2.pid e riavviarlo:
/etc/init.d/apache2 stop
ln -s /var/www/var/run/apache2.pid /var/run/apache2.pid /etc/init.d/apache2 start
Questo è tutto. Puoi ora chiamare le tue pagine web come prima, e dovrebbero essere servite senza problemi, purché siano file HTML statici o utilizzino mod_php.
Se stai usando CGI, ad esempio Perl, suPHP, Ruby, ecc., allora devi copiare l’interprete (ad esempio /usr/bin/perl, /usr/sbin/suphp, ecc.) nella prigione chroot insieme a tutte le librerie necessarie per l’interprete. Puoi scoprire quali librerie sono necessarie con il comando ldd, ad esempio:
ldd /usr/sbin/suphp
server2:/var/www/web1/log# ldd /usr/sbin/suphp linux-gate.so.1 => (0xffffe000) libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0xb7e34000) libm.so.6 => /lib/tls/i686/cmov/libm.so.6 (0xb7e0f000) libgcc_s.so.1 => /lib/libgcc_s.so.1 (0xb7e03000) libc.so.6 => /lib/tls/i686/cmov/libc.so.6 (0xb7cd2000) /lib/ld-linux.so.2 (0xb7f23000) server2:/var/www/web1/log#
Se hai copiato tutti i file richiesti, ma la pagina non funziona ancora, dovresti dare un’occhiata al log degli errori di Apache. Di solito ti dice dove si trova il problema. Leggi anche http://core.segfault.pl/~hobbit/mod_chroot/caveats.html per problemi e soluzioni noti.
4 Link
- mod_chroot: http://core.segfault.pl/~hobbit/mod_chroot/
- Apache: http://httpd.apache.org/
- Debian: http://www.debian.org/
Ricevi i nuovi post nella tua casella di posta.
Nessuno spam. Disiscriviti in qualsiasi momento.