在 Debian 上 chroot Apache2 的良好资源

在 Debian 上 chroot Apache2 的良好资源

我需要比或者关于如何在 Debian 系统上使用 chroot 保护 Apache2。似乎大多数文章都涉及 Apache1。我尝试遵循它们并适应 Apache2,但结果很糟糕。

答案1

您可以使用mod_security为您轻松完成此操作。

文档是这里

只需安装 libapache-mod-security 并将以下行添加到您的 apache.conf。

SecChrootDir /chroot

答案2

由于您运行的是 Debian,我的建议是使用 makejail,它可以轻松创建旧式(外部)jail。我已经多次使用它,没有任何问题。我最初想出了在 ModSecurity 中实现的内部 chroot 想法(我是作者),后来由 mod_chroot 实现,现在 Apache 本身也提供了该想法。如果我当时知道 makejail,我就不会再使用其他东西了。话虽如此,内部 chroot 功能通常非常如果您的要求不复杂,则易于使用。选择正确的目录结构非常重要。例如,将您的 jail 放在 /chroot/opt/apache 中,然后创建指向 /chroot/opt/apache 的符号链接 /opt/apache。(自从我 chroot 了原版 Debian Apache 以来已经有一段时间了,我不记得 Apache 的具体安装位置。)这将使 jail 内外的路径相同,这很关键。

另外,我撰写的《Apache 安全》第 2 章可从以下网址在线获取:http://www.apachesecurity.net。它包含有关 chroot 的详细讨论和分步说明。从第 40 页开始。

-- 伊万·里斯蒂克 ModSecurity 手册&SSL 实验室

答案3

这似乎是一个简单的方法,但它真的安全吗?

相关内容