webserver auf eigenem chroot

[lechfusion]

Hi Community



ich plane gerade apache, ftp server und mysql datenbank auf einen eigenen chroot zu legen, mit dem hintergedanken somit ein sichereres (****** wort ) system zu schaffen (isn dedicated server, der allein webserver aktivitäten durchführt), weil somit das basesystem weitgehend unberührt bleibt.

wie ich das mit ip adresse etc. löse muss ich erst schaun.

chroot testmgebung habe ich bereits erstellt (dank ans forum, die alten threads waren sehr hilfreich).

mich würde hier eure meinung sowie eure tipps interessieren...

dank schonmal im vorraus

grüße vom lech
lechfusion

[derRichard]

hallo!

also, ich hab einen apachen in chroot() laufen.
es läuft eigendlich alles super, bis auf phpsysinfo und co. (is ja eigendlich logisch^^)
mit dem mysql-modul von php hatte ich aber auch probleme, weil php keinen zugriff auf den socket von mysql hat.

//richard

[msi]

Original geschrieben von derRichard
hallo!

also, ich hab einen apachen in chroot() laufen.
es läuft eigendlich alles super, bis auf phpsysinfo und co. (is ja eigendlich logisch^^)
mit dem mysql-modul von php hatte ich aber auch probleme, weil php keinen zugriff auf den socket von mysql hat.

//richard

kannste vielleicht mal alle wichtigen dateien in der chroot posten und einen verzeichnisbaum (zb mit tree) posten??

wäre nett, Markus

[derRichard]

Original geschrieben von msi
kannste vielleicht mal alle wichtigen dateien in der chroot posten und einen verzeichnisbaum (zb mit tree) posten??

wäre nett, Markus

hallo markus!

das wird dir nix bringen, das ist eine openbsd-mühle.
der opensbd-apache chrootet sich selbst.
du muss man als user nix mehr machen
der apache legt einfach ein chroot() um /var/www.
wobei die ganzen apache-libs nicht in /var/www sein müssen.

//richard

[lechfusion]

@richard: wie bist du bei der inst. vorgegangen? gib mal ne kleine howto
das mit mysql hab ich grad feststellen müssen ... hast du trozdem irgendwie geschafft oder die db einfach nciht gechrooted?

[derRichard]

Original geschrieben von lechfusion
@richard: wie bist du bei der inst. vorgegangen? gib mal ne kleine howto
das mit mysql hab ich grad feststellen müssen ... hast du trozdem irgendwie geschafft oder die db einfach nciht gechrooted?

hallo!

man kann auf den mysql-server via socket oder via tcp zugreifen.
wenn der apache in chroot() ist dann geht nur tcp.
mann muss also alle php-sachen so um/bauen, dass nur via tcp auf den mysql-server zugegrifen wird.
dann geht es.

//richard

[msi]

Original geschrieben von derRichard
hallo markus!

das wird dir nix bringen, das ist eine openbsd-mühle.
der opensbd-apache chrootet sich selbst.
du muss man als user nix mehr machen
der apache legt einfach ein chroot() um /var/www.
wobei die ganzen apache-libs nicht in /var/www sein müssen.

//richard

ja und, deswegen sind trotzdem alle wichtigen dateien in /var/www.
Ich habs ja schon soweit geschafft, dass der apache ohne probs in der chroot läuft. Jedoch will php einfach nicht ka woran es liegt.

[lechfusion]

ich steh grad am schlauch ... chrooted ihr nur die webs im /var/www und habt den apache im hauptsystem laufen, oder habt ihr ihn direkt in der chroot umgebung (inkl. libs, conf files etc.)?

... geh erstmal nen kaffee trinken und eine rauchen, vielleicht wirds dann was

[msi]

also ich versuche/will den kompletten apache chrooten

[lechfusion]

würd ich auch am liebsten, aber irgendwie ... ahhh ... kennt jemand ein gutes tut dafür?

[xstevex22]

Hi!
Vielleicht das hier, wollte ich auch schon immer machen, aber die Zeit...

http://www.tldp.org/LDP/solrhe/Secur...p29sec254.html

[lechfusion]

hey dank dir, sieht ganz gut aus ... aber ich sehs schon, wochenende ist damit wiedermal im a****

[lechfusion]

hmmm, also ich würde es jetzt so machen.

apache, mysql, ftp etc. ... läuft normal im /

in die chroot jail kommt lediglich das www, so dass im falle eines angriffs nur die webseiten zum opfer fallen (die über backup relativ schnell wieder hergestellt werden können.)

aber läuft das dann auch (denke hier vorallem an die datenbank und den ftp) ... der müsste die mysql datenbank doch eigetnlich garnicht finden bzw. keine ftp einstellungen übernehmen ... lieg ich hier richtig oder steh ich aufm kabel?

falls ich richtig liege, wie würdet ihr hier vorgehen?

will auf jedenfall die wwws bzw. alles wo der user zugriff drauf hat (ftp etc.) vom system abschotten, aber für jeden user (etwa 20 stück) eigene jail mit eigenem mysql, apache etc. aufsetzen find ich etwas übertrieben, zudem confixx auch noch mit neipfuscht ...

[DVD]

Allso damit (--> http://penguin.epfl.ch/chroot.html ) hab ichs in 20 min gebaut. Besonders schwer wars nicht allerdings will ich gerade ein tomcat server( http://www.linuxforen.de/forums/show...threadid=91633 ) in chroot bauen... evt. könnte mir dazu ja jemand ein Tip geben.

[lechfusion]

thx @ dvd

hatte leider noch keine zeit das tut durchzugehen ... mir kacken hier in der firma grad die f******win server ab ... weißt du ob dort auch beschrieben wird, ob das mit den wwws und mysql so klappt wie ichs mir vorgestellt habe? (siehe bissle weiter oben)