Chrooting Apache2 Com mod_chroot No Debian Etch

Versão 1.0
Autor: Falko Timme

Este guia explica como configurar o mod_chroot com Apache2 em um sistema Debian Etch. Com o mod_chroot, você pode executar o Apache2 em um ambiente chroot seguro e tornar seu servidor menos vulnerável a tentativas de invasão que tentam explorar vulnerabilidades no Apache2 ou em suas aplicações web instaladas.

Não dou nenhuma garantia de que isso funcionará para você!

1 Nota Preliminar

Estou assumindo que você tem um sistema Debian Etch em funcionamento com um Apache2 funcionando, por exemplo, conforme mostrado neste tutorial: The Perfect Setup - Debian Etch (Debian 4.0). Além disso, assumo que você tem um ou mais sites configurados dentro do diretório /var/www (por exemplo, se você usar ISPConfig).

2 Instalando mod_chroot

Para instalar o mod_chroot, simplesmente executamos:

apt-get install libapache2-mod-chroot

Em seguida, habilitamos o mod_chroot e reiniciamos o Apache:

a2enmod mod_chroot  
/etc/init.d/apache2 force-reload

3 Configurando o Apache

Quero usar o diretório /var/www como o diretório que contém a jaula chroot. O Apache do Debian usa o arquivo PID /var/run/apache2.pid; quando o Apache está chrooted para /var/www, /var/run/apache2.pid se traduz em /var/www/var/run/apache2.pid. Portanto, criamos esse diretório agora:

mkdir -p /var/www/var/run  
chown -R root:root /var/www/var/run

Agora devemos informar ao Apache que queremos usar /var/www como nosso diretório chroot. Abrimos /etc/apache2/apache2.conf e logo abaixo da linha PidFile, adicionamos uma linha ChrootDir:

vi /etc/apache2/apache2.conf

| [...] # # PidFile: O arquivo no qual o servidor deve registrar seu número de identificação de processo quando inicia. # PidFile /var/run/apache2.pid ChrootDir /var/www [...] |

Em seguida, devemos informar nossos vhosts que a raiz do documento mudou (por exemplo, um DocumentRoot /var/www se traduz agora em DocumentRoot /). Podemos fazer isso mudando a diretiva DocumentRoot de cada vhost, ou mais facilmente, criando um symlink no sistema de arquivos.

3.1 Primeiro Método: Mudando O DocumentRoot

Vamos supor que temos um vhost com DocumentRoot /var/www. Agora devemos abrir a configuração do vhost e mudar DocumentRoot /var/www para DocumentRoot /. Consequentemente, DocumentRoot /var/www/web1/web agora se traduz em DocumentRoot /web1/web, e assim por diante. Se você quiser usar este método, deve mudar o DocumentRoot para cada vhost individualmente.

3.2 Segundo Método: Criando Um Symlink No Sistema De Arquivos

Este método é mais fácil, porque você precisa fazê-lo apenas uma vez e não precisa modificar nenhuma configuração de vhost. Criamos um symlink apontando de /var/www/var/www para /var/www:

mkdir -p /var/www/var  
cd /var/www/var  
ln -s ../../ www

Finalmente, devemos parar o Apache, criar um symlink de /var/run/apache2.pid para /var/www/var/run/apache2.pid e iniciá-lo novamente:

/etc/init.d/apache2 stop

ln -s /var/www/var/run/apache2.pid /var/run/apache2.pid  
/etc/init.d/apache2 start

É isso. Agora você pode chamar suas páginas web como antes, e elas devem ser servidas sem problemas, desde que sejam arquivos HTML estáticos ou usando mod_php.

Se você estiver usando CGI, por exemplo, Perl, suPHP, Ruby, etc., então você deve copiar o interpretador (por exemplo, /usr/bin/perl, /usr/sbin/suphp, etc.) para a jaula chroot junto com todas as bibliotecas necessárias pelo interpretador. Você pode descobrir sobre as bibliotecas necessárias com o comando ldd, por exemplo:

ldd /usr/sbin/suphp

server2:/var/www/web1/log# ldd /usr/sbin/suphp  
        linux-gate.so.1 =>  (0xffffe000)  
        libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0xb7e34000)  
        libm.so.6 => /lib/tls/i686/cmov/libm.so.6 (0xb7e0f000)  
        libgcc_s.so.1 => /lib/libgcc_s.so.1 (0xb7e03000)  
        libc.so.6 => /lib/tls/i686/cmov/libc.so.6 (0xb7cd2000)  
        /lib/ld-linux.so.2 (0xb7f23000)  
server2:/var/www/web1/log#

Se você copiou todos os arquivos necessários, mas a página ainda não está funcionando, deve dar uma olhada no log de erros do Apache. Normalmente, ele informa onde está o problema. Também leia http://core.segfault.pl/~hobbit/mod_chroot/caveats.html para problemas conhecidos e soluções.

4 Links

mod_chroot: http://core.segfault.pl/~hobbit/mod_chroot
Apache: http://httpd.apache.org
Debian: http://www.debian.org