Chrooting Apache2 Com mod_chroot No CentOS 5.4

Chrooting Apache2 Com mod_chroot No CentOS 5.4

Version 1.0
Autor: Falko Timme
Siga-me no Twitter

Este guia explica como configurar o mod_chroot com Apache2 em um sistema CentOS 5.4. Com o mod_chroot, você pode executar o Apache2 em um ambiente chroot seguro e tornar seu servidor menos vulnerável a tentativas de invasão que tentam explorar vulnerabilidades no Apache2 ou em suas aplicações web instaladas.

Não emito nenhuma garantia de que isso funcionará para você!

1 Nota Preliminar

Estou assumindo que você tem um sistema CentOS 5.4 em funcionamento com um Apache2 funcionando, por exemplo, conforme mostrado neste tutorial: O Servidor Perfeito - CentOS 5.4 x86_64 [ISPConfig 2]. Além disso, assumo que você tem um ou mais sites configurados dentro do diretório /var/www (por exemplo, se você usar o ISPConfig).

2 Instalando o mod_chroot

Não há pacote mod_chroot para CentOS 5.4, portanto, devemos construí-lo nós mesmos. Primeiro, instalamos os pré-requisitos:

yum groupinstall 'Development Tools'

yum groupinstall 'Development Libraries'

yum install httpd-devel

Agora construímos o mod_chroot da seguinte forma:

cd /tmp  
wget http://core.segfault.pl/~hobbit/mod_chroot/dist/mod_chroot-0.5.tar.gz  
tar xvfz mod_chroot-0.5.tar.gz  
cd mod_chroot-0.5  
apxs -cia mod_chroot.c

Em seguida, reiniciamos o Apache:

/etc/init.d/httpd restart

3 Configurando o Apache

Quero usar o diretório /var/www como o diretório que contém a prisão chroot. O Apache do CentOS usa o arquivo PID /var/run/httpd.pid; quando o Apache é chrooted para /var/www, /var/run/httpd.pid se traduz em /var/www/var/run/httpd.pid. Portanto, criamos esse diretório agora:

mkdir -p /var/www/var/run  
chown -R root:apache /var/www/var/run

Agora devemos informar ao Apache que queremos usar /var/www como nosso diretório chroot. Abrimos /etc/httpd/conf/httpd.conf e logo abaixo da linha PidFile, adicionamos a linha ChrootDir /var/www; também comentamos a linha PidFile run/httpd.pid e adicionamos a linha PidFile /var/run/httpd.pid:

vi /etc/httpd/conf/httpd.conf

| [...] # # PidFile: O arquivo no qual o servidor deve registrar seu número # de identificação do processo quando inicia. # #PidFile run/httpd.pid PidFile /var/run/httpd.pid ChrootDir /var/www [...] |

Em seguida, devemos informar aos nossos vhosts que o diretório raiz do documento mudou (por exemplo, um DocumentRoot /var/www se traduz agora em DocumentRoot /). Podemos fazer isso alterando a diretiva DocumentRoot de cada vhost, ou mais facilmente, criando um symlink no sistema de arquivos.

3.1 Primeiro Método: Mudando O DocumentRoot

Vamos supor que temos um vhost com DocumentRoot /var/www. Agora devemos abrir a configuração do vhost desse vhost e mudar DocumentRoot /var/www para DocumentRoot /. Consequentemente, DocumentRoot /var/www/web1/web agora se traduziria em DocumentRoot /web1/web, e assim por diante. Se você quiser usar este método, deve alterar o DocumentRoot para cada vhost individualmente.

3.2 Segundo Método: Criando Um Symlink No Sistema De Arquivos

Este método é mais fácil, porque você só precisa fazê-lo uma vez e não precisa modificar nenhuma configuração de vhost. Criamos um symlink apontando de /var/www/var/www para /var/www:

mkdir -p /var/www/var  
cd /var/www/var  
ln -s ../../ www

Finalmente, temos que parar o Apache, criar um symlink de /var/run/httpd.pid para /var/www/var/run/httpd.pid e iniciá-lo novamente:

/etc/init.d/httpd stop

ln -sf /var/www/var/run/httpd.pid /var/run/httpd.pid  
/etc/init.d/httpd start

É isso. Agora você pode acessar suas páginas web como antes, e elas devem ser servidas sem problemas, desde que sejam arquivos HTML estáticos ou usando mod_php.

Se você estiver usando CGI, por exemplo, Perl, suPHP, Ruby, etc., então você deve copiar o interpretador (por exemplo, /usr/bin/perl, /usr/sbin/suphp, etc.) para a prisão chroot junto com todas as bibliotecas necessárias pelo interpretador. Você pode descobrir sobre as bibliotecas necessárias com o comando ldd, por exemplo:

ldd /usr/sbin/suphp

[server2:/var/www/web1/log]# ldd /usr/sbin/suphp  
        linux-gate.so.1 =>  (0xffffe000)  
        libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0xb7e34000)  
        libm.so.6 => /lib/tls/i686/cmov/libm.so.6 (0xb7e0f000)  
        libgcc_s.so.1 => /lib/libgcc_s.so.1 (0xb7e03000)  
        libc.so.6 => /lib/tls/i686/cmov/libc.so.6 (0xb7cd2000)  
        /lib/ld-linux.so.2 (0xb7f23000)  
[server2:/var/www/web1/log]#

Se você copiou todos os arquivos necessários, mas a página ainda não está funcionando, deve dar uma olhada no log de erros do Apache. Normalmente, ele informa onde está o problema. Também leia http://core.segfault.pl/~hobbit/mod_chroot/caveats.html para problemas e soluções conhecidas.

4 Links

• mod_chroot: http://core.segfault.pl/~hobbit/mod_chroot/
• Apache: http://httpd.apache.org/
• CentOS: http://www.centos.org/