Chrooting Apache2使用mod_chroot在Ubuntu 10.04上

在Ubuntu 10.04上调用Apache2与mod_chroot

本指南介绍如何在Ubuntu 10.04系统上使用Apache2设置mod_chroot 。 使用mod_chroot，您可以在安全的chroot环境中运行Apache2，并使您的服务器不易受到尝试利用Apache2或安装的Web应用程序中的漏洞的入侵尝试。

我不会保证这将为您工作！

1初步说明

我假设你有一个运行Ubuntu 10.04系统与一个工作的Apache2，例如本教程所示： 完美的服务器 - Ubuntu Lucid Lynx（Ubuntu 10.04）[ISPConfig 2] 。 除此之外，我假设您在/ var / www目录中设置了一个或多个网站（例如，如果您使用ISPConfig）。

2安装mod_chroot

要安装mod_chroot，我们只需运行：

aptitude install libapache2-mod-chroot

然后我们启用mod_chroot并重新启动Apache：

a2enmod mod_chroot
 /etc/init.d/apache2 restart

3配置Apache

我想使用/ var / www目录作为包含chroot jail的目录。 Ubuntu的Apache使用PID文件/var/run/apache2.pid ; 当Apache被chroot到/ var / www时， /var/ run / apache2.pid转换为/var/www/var/run/apache2.pid 。 因此，我们现在创建该目录：

mkdir -p /var/www/var/run
 chown -R root:root /var/www/var/run

现在我们必须告诉Apache我们要使用/ var / www作为我们的chroot目录。 我们打开/etc/apache2/apache2.conf ，并在PidFile行下方添加一个ChrootDir行：

vi /etc/apache2/apache2.conf

[...]
#
# PidFile: The file in which the server should record its process
# identification number when it starts.
# This needs to be set in /etc/apache2/envvars
#
PidFile ${APACHE_PID_FILE}
ChrootDir /var/www
[...]

接下来，我们必须告诉我们的vhosts文档根已经改变了（例如， DocumentRoot / var / www现在转换为DocumentRoot / ）。 我们可以通过在文件系统中创建符号链接来更改每个虚拟机的DocumentRoot指令，或者更容易。

3.1第一种方法：更改DocumentRoot

假设我们有一个带有DocumentRoot / var / www的虚拟主机。 我们现在必须打开该vhost的vhost配置，并将DocumentRoot / var / www更改为DocumentRoot / 。 因此， DocumentRoot / var / www / web1 / web现在将转换为DocumentRoot / web1 / web ，等等。 如果要使用此方法，则必须为每个虚拟主机更改DocumentRoot 。

3.2第二种方法：在文件系统中创建一个符号链接

这种方法更容易，因为您只需执行一次，就不必修改任何虚拟机配置。 我们创建一个从/ var / www / var / www指向/ var / www的符号链接：

mkdir -p /var/www/var
 cd /var/www/var
 ln -s ../ www

最后，我们必须停止Apache，从/var/run/apache2.pid创建一个符号链接到/var/www/var/run/apache2.pid ，然后重新启动：

/etc/init.d/apache2 stop

ln -s /var/www/var/run/apache2.pid /var/run/apache2.pid
 /etc/init.d/apache2 start

而已。 您现在可以像以前一样调用您的网页，只要它们是静态HTML文件或使用mod_php，就可以毫无问题地提供它们。

如果您正在使用CGI，例如Perl，suPHP，Ruby等，则必须将解释器（例如/ usr / bin / perl ， / usr / lib / suphp / suphp等）复制到chroot jail以及所有图书馆需要翻译。 您可以使用ldd命令找到所需的库，例如

ldd /usr/lib/suphp/suphp

root@server1:~# ldd /usr/lib/suphp/suphp
         linux-vdso.so.1 =>  (0x00007fff66dff000)
         libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0x00007fa9f4031000)
         libm.so.6 => /lib/libm.so.6 (0x00007fa9f3dae000)
         libgcc_s.so.1 => /lib/libgcc_s.so.1 (0x00007fa9f3b96000)
         libc.so.6 => /lib/libc.so.6 (0x00007fa9f3814000)
         /lib64/ld-linux-x86-64.so.2 (0x00007fa9f434b000)
 root@server1:~#

如果您已经复制了所有必需的文件，但页面仍然不起作用，则应该查看Apache错误日志。 通常它告诉你问题在哪里。 另请参阅http://core.segfault.pl/~hobbit/mod_chroot/caveats.html了解已知问题和解决方案。

4链接

• mod_chroot： http : //core.segfault.pl/~hobbit/mod_chroot/
• Apache： http : //httpd.apache.org/
• Ubuntu： http : //www.ubuntu.com/