Chrooting Apache2使用mod_chroot在Ubuntu 10.04上

在Ubuntu 10.04上调用Apache2与mod_chroot

本指南介绍如何在Ubuntu 10.04系统上使用Apache2设置mod_chroot 。 使用mod_chroot,您可以在安全的chroot环境中运行Apache2,并使您的服务器不易受到尝试利用Apache2或安装的Web应用程序中的漏洞的入侵尝试。

我不会保证这将为您工作!

1初步说明

我假设你有一个运行Ubuntu 10.04系统与一个工作的Apache2,例如本教程所示: 完美的服务器 - Ubuntu Lucid Lynx(Ubuntu 10.04)[ISPConfig 2] 。 除此之外,我假设您在/ var / www目录中设置了一个或多个网站(例如,如果您使用ISPConfig)。

2安装mod_chroot

要安装mod_chroot,我们只需运行:

aptitude install libapache2-mod-chroot

然后我们启用mod_chroot并重新启动Apache:

a2enmod mod_chroot
/etc/init.d/apache2 restart

3配置Apache

我想使用/ var / www目录作为包含chroot jail的目录。 Ubuntu的Apache使用PID文件/var/run/apache2.pid ; 当Apache被chroot到/ var / www时, /var/ run / apache2.pid转换为/var/www/var/run/apache2.pid 。 因此,我们现在创建该目录:

mkdir -p /var/www/var/run
chown -R root:root /var/www/var/run

现在我们必须告诉Apache我们要使用/ var / www作为我们的chroot目录。 我们打开/etc/apache2/apache2.conf ,并在PidFile行下方添加一个ChrootDir行:

vi /etc/apache2/apache2.conf
[...]
#
# PidFile: The file in which the server should record its process
# identification number when it starts.
# This needs to be set in /etc/apache2/envvars
#
PidFile ${APACHE_PID_FILE}
ChrootDir /var/www
[...]

接下来,我们必须告诉我们的vhosts文档根已经改变了(例如, DocumentRoot / var / www现在转换为DocumentRoot / )。 我们可以通过在文件系统中创建符号链接来更改每个虚拟机的DocumentRoot指令,或者更容易。

3.1第一种方法:更改DocumentRoot

假设我们有一个带有DocumentRoot / var / www的虚拟主机。 我们现在必须打开该vhost的vhost配置,并将DocumentRoot / var / www更改为DocumentRoot / 。 因此, DocumentRoot / var / www / web1 / web现在将转换为DocumentRoot / web1 / web ,等等。 如果要使用此方法,则必须为每个虚拟主机更改DocumentRoot

3.2第二种方法:在文件系统中创建一个符号链接

这种方法更容易,因为您只需执行一次,就不必修改任何虚拟机配置。 我们创建一个从/ var / www / var / www指向/ var / www的符号链接:

mkdir -p /var/www/var
cd /var/www/var
ln -s ../ www

最后,我们必须停止Apache,从/var/run/apache2.pid创建一个符号链接到/var/www/var/run/apache2.pid ,然后重新启动:

/etc/init.d/apache2 stop
ln -s /var/www/var/run/apache2.pid /var/run/apache2.pid
/etc/init.d/apache2 start

而已。 您现在可以像以前一样调用您的网页,只要它们是静态HTML文件或使用mod_php,就可以毫无问题地提供它们。

如果您正在使用CGI,例如Perl,suPHP,Ruby等,则必须将解释器(例如/ usr / bin / perl/ usr / lib / suphp / suphp等)复制到chroot jail以及所有图书馆需要翻译。 您可以使用ldd命令找到所需的库,例如

ldd /usr/lib/suphp/suphp
root@server1:~# ldd /usr/lib/suphp/suphp
        linux-vdso.so.1 =>  (0x00007fff66dff000)
        libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0x00007fa9f4031000)
        libm.so.6 => /lib/libm.so.6 (0x00007fa9f3dae000)
        libgcc_s.so.1 => /lib/libgcc_s.so.1 (0x00007fa9f3b96000)
        libc.so.6 => /lib/libc.so.6 (0x00007fa9f3814000)
        /lib64/ld-linux-x86-64.so.2 (0x00007fa9f434b000)
root@server1:~#

如果您已经复制了所有必需的文件,但页面仍然不起作用,则应该查看Apache错误日志。 通常它告诉你问题在哪里。 另请参阅http://core.segfault.pl/~hobbit/mod_chroot/caveats.html了解已知问题和解决方案。

4链接

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏