guten morgen zusammen,

bringt es was, apache in ein chroot zu packen, wenn auf dem server wirklich nur der apache läuft und sonst nichts - kein pop, kein imap, kein sql etc etc..? (abgesehen von den standard systemdiensten)

viele grüße

kommt drauf an, was der Apache so macht, können muss, welche Scripte eingesetzt werden, ...

der server / apache dient in diesem fall zum ausliefern von bildern. ebenfalls können user bilder hochladen - dementsprechend wird per php im filesystem geschrieben...

dann würde ich es davon abhängig machen, wie sehr Du dem upload-Script vertraust, wie die Filesystemkonfiguration ist, PHP-Einstellungen, ...

Überlegenswert ist es aber auf jeden Fall...

Chroots sind als zusätzliche Barriere zu sehen, nicht als Ersatz für eine saubere Konfiguration. Ich bin da bisher immer ohne Chroot ausgekommen. Ob ich mir nun mit einer Softair oder einer 9mm in den Fuß schieße - in den Fuß geschossen ist in den Fuß geschossen.

das sollte eh klar sein...

ich habe jetzt bestimmt 20 x versucht, den lighty (+ php5-cgi) auf einem etch server zu chrooten mittels den howtos von

- http://www.cyberciti.biz/tips/howto-setup-lighttpd-php-mysql-chrooted-jail.html

und

- http://www.rootforum.de/wiki/howto/thema/testhowto

aber ich bekomme immer folgende fehlermeldung und bin schon total am verzweifeln:


2007-12-14 16:57:03: (mod_fastcgi.c.1022) the fastcgi-backend /usr/bin/php5-cgi failed to start:
2007-12-14 16:57:03: (mod_fastcgi.c.1026) child exited with status 2 /usr/bin/php5-cgi
2007-12-14 16:57:03: (mod_fastcgi.c.1029) if you try do run PHP as FastCGI backend make sure you use the FastCGI enabled version.
You can find out if it is the right one by executing 'php -v' and it should display '(cgi-fcgi)' in the output, NOT (cgi) NOR (cli)
For more information check http://www.lighttpd.net/documentation/fastcgi.html#preparing-php-as-a-fastcgi-program
2007-12-14 16:57:03: (mod_fastcgi.c.1034) If this is PHP on Gentoo add fastcgi to the USE flags
2007-12-14 16:57:03: (mod_fastcgi.c.1330) [ERROR]: spawning fcgi failed.
2007-12-14 16:57:03: (server.c.849) Configuration of plugins failed. Going down.


php läuft als cgi-fcgi und gibt auch den entsprechenden hinweis beim aufruf mit dem parameter -v aus

wenn ich den lighty mit php cgi ganz normal - sprich ohne chroot- installiere, klappt alles wunderbar

hat vielleicht jemand ne lösung oder einen ansatz ?

gruß

schau mal auf den link in der Fehlermeldung und dann dann Modul fast-cgi anklicken , deine Verzeichnisse sind verkehrt

welche verzeichnisse meinst du ? von php5-cgi ?
ich hatte testweise in den lighty configs den pfad von /usr/bin/php5-cgi nach /<chroot>/usr/bin/php5-cgi geändert.. gleiches phänomen . ..

Eventuell ist es auch ein chroot-probs, ich weiß nur soviel das es mit chroot und mod_security und zusammen mit fast-cgi und Apache auch probs gibt und fast-cgi nicht will..könnte das gleiche probs sein bloß beim chroot mit mod_security kommt ein Speicherfehler

aber es muss ja laufen - sonst gäbe es dieses how tos ja nicht .. :-/

ich weiß nur das fast-cgi im chroot von mod_security nicht läuft bzw. Speicherfehler erzeugt....obs läuft ???, kannst ja die Entwickler anfragen zu dem Problem und howtos gibts viel und wie viele tauegn was, du mußt ihn nicht unbedingt chrooten..php gibt genug Vorgaben es auch so zu sichern oder zu 99% abzusichern alleine in der php.ini und dazu richtige Rechte setzen. Wenn ein script Lücken hat hilft auch kein chroot

ja das ist klar.. der lighty chroot dient auch nich zum ersatz von einer gut konfigurierten php ini bzw vernünftig programmierter software, sondern nur als ein sicherheits +