Форум русскоязычного сообщества Ubuntu


За новостями русскоязычного сообщества и Ubuntu в целом можно следить на нашей страничке в Google+

Автор Тема: apache в chroot-среде  (Прочитано 2880 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Protey

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
apache в chroot-среде
« : 15 Сентябрь 2007, 22:44:40 »
нарыл статейку в интернете http://www.securitylab.ru/analytics/216289.php
собственно, дело встало за созданием устройства /chroot/httpd/dev/log
как его создать?
в подробностях, если можно, т.к. знаний явно не хватает

и ещё:
допустим если я с помощью mount эмулирую под chroot место с другого устройства, как думаете, эффект от всей этой затеи не испортится?

Оффлайн Lolka

  • Участник
  • *
  • Сообщений: 162
  • Адепт высшей магии по Убунтизму
    • Просмотр профиля
Re: apache в chroot-среде
« Ответ #1 : 16 Сентябрь 2007, 03:11:12 »
Ставить OpenBSD, там chroot для apach'a по умолчанию =)
А вообще лучше использовать jail'ы, потому что chroot'ом одного апача дело не закончится. Потом понадобится sendmail и так далее, будет море мороки.

Оффлайн kiev

  • Активист
  • *
  • Сообщений: 408
    • Просмотр профиля
    • Соционическое типирование и консультирование
Re: apache в chroot-среде
« Ответ #2 : 16 Сентябрь 2007, 04:16:12 »
или федору - там кажется если включить se-linux то тоже что-то вроде chroot будет

Оффлайн Protey

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: apache в chroot-среде
« Ответ #3 : 16 Сентябрь 2007, 09:10:41 »
что за jail'ы?
впервые слышу, если честно

просто у меня очень остро встал вопрос безопасности, вот и ищу как максимально машину закрыть от атак извне, а к убунте уже привык
« Последнее редактирование: 16 Сентябрь 2007, 09:12:32 от Protey »

Оффлайн IS

  • Участник
  • *
  • Сообщений: 231
    • Просмотр профиля
Re: apache в chroot-среде
« Ответ #4 : 16 Сентябрь 2007, 09:17:40 »
Ставить OpenBSD, там chroot для apach'a по умолчанию =)
А вообще лучше использовать jail'ы, потому что chroot'ом одного апача дело не закончится. Потом понадобится sendmail и так далее, будет море мороки.

Или ставить ALTLinux.  ;)

Оффлайн Lolka

  • Участник
  • *
  • Сообщений: 162
  • Адепт высшей магии по Убунтизму
    • Просмотр профиля
Re: apache в chroot-среде
« Ответ #5 : 16 Сентябрь 2007, 10:38:11 »
Джайл создает якобы виртуальную еще одну систему, у которой есть полоноценное дерево системных каталогов и демоны (ssh, www и так далее) , т.е. оказавшись в джайле, человек может даже не догадаться, что он находится в виртуальном сервере а не в настоящем. Видели рекламу когда нибудь, где пишут "Раздаем рут доступ"? Вот таким приблизительно образом это все и делается. На довольно мощном севере устраивается куча джайлов, каждый для своего хоста, а на родительский сервер на интерфейс навешиваются алиасами десяток IP адресов, каждому джайлу свой. Есть некоторые минусы, но они обходятся и в свете преимуществ незначительны =)
http://en.wikipedia.org/wiki/FreeBSD_Jail

Оффлайн Protey

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: apache в chroot-среде
« Ответ #6 : 16 Сентябрь 2007, 12:20:24 »
2Lolka
а на ubuntu такая система возможна?

Оффлайн Lolka

  • Участник
  • *
  • Сообщений: 162
  • Адепт высшей магии по Убунтизму
    • Просмотр профиля
Re: apache в chroot-среде
« Ответ #7 : 16 Сентябрь 2007, 17:25:50 »
Вообще штука оригинально Фряшная, но 100 к 1 для debian/ubuntu есть похожая виртуализационная фича =)

Оффлайн Protey

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: apache в chroot-среде
« Ответ #8 : 16 Сентябрь 2007, 18:40:30 »
узнать бы какая именно..

Оффлайн Protey

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: apache в chroot-среде
« Ответ #9 : 16 Сентябрь 2007, 19:32:10 »
а про OpenVZ что скажете?
она вроде все виды Линукса поддерживает.. по крайней мере в Wiki в требованиях к системе никаких разграничений нет, а просто написано Linux

Оффлайн Protey

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: apache в chroot-среде
« Ответ #10 : 17 Сентябрь 2007, 12:41:40 »
подкажите же кто-нибудь!
очень важный для меня вопрос!

Оффлайн IS

  • Участник
  • *
  • Сообщений: 231
    • Просмотр профиля
Re: apache в chroot-среде
« Ответ #11 : 17 Сентябрь 2007, 15:29:47 »
подкажите же кто-нибудь!
очень важный для меня вопрос!

Я думаю, что Вам лучше подписаться на список рассылки Sysadmins на сайте ALTLinux,
поскольку ALTLinux Server 4.0 изначально "заточен" под OpenVZ, то там Вы и сможете получить более
квалифицированные ответы по этой теме.  :)

И, кстати, в дистрибутивах от ALT большинство потенциально привлекательных для атак сервисов
изначально "живут" в среде chroot. (это как раз имеет прямое отношение к теме данного обсуждения).

Правда в последнее время в альтовских рассылках не очень здоровая (с моей точки зрения)
обстановка, особенно с вопросами типа Вашего:
Цитировать
а про OpenVZ что скажете?
;)

Или просто пошлют доки читать или начнут откровенно хамить...  >:(
Но кто его знает... может у Вас что и получится...  ;)

А что касаемо моего мнения по поводу OpenVZ, то скажу только одно, тема очень интересная и
доки по ней можно найти и на альтовском сайте и просто в и-нете. Но эта штука не очень простая
в настройке и прежде чем за нее браться, следует основательно ознакомиться с документацией,
хорошенько "въехать" в тему, а уж потом....  ;)
« Последнее редактирование: 17 Сентябрь 2007, 15:41:04 от IS »

Оффлайн Protey

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: apache в chroot-среде
« Ответ #12 : 17 Сентябрь 2007, 20:09:10 »
2IS
спасибо Вам за ответ
просто у нас в городе самая лучшая поддержка из всех разновидностей Linuxa, это Ubuntu, поэтому и приглянулась она
а про ALT Linux ничего не слышно..
вот и хотелось бы узнать, как лучше всего обезопасить именно Ubuntu от атак со стороны

Оффлайн IS

  • Участник
  • *
  • Сообщений: 231
    • Просмотр профиля
Re: apache в chroot-среде
« Ответ #13 : 18 Сентябрь 2007, 17:22:34 »
2IS
спасибо Вам за ответ
просто у нас в городе самая лучшая поддержка из всех разновидностей Linuxa, это Ubuntu, поэтому и приглянулась она
а про ALT Linux ничего не слышно..
вот и хотелось бы узнать, как лучше всего обезопасить именно Ubuntu от атак со стороны

IMHO убунтовский сервер "из коробки" вряд ли для этого годится...
Как сервер внутри организации, не выставляющий наружу сервисов - он очень даже пойдет, а вот если наружу...
то либо брать большой напильник либо брать другой дистрибутив....
Кстати, альтовские дистрибутивы хоть и rpm-based тем не менее используют все тот же apt, так что тем кто привык к убунте и дебиану привыкать не придется...  ;D

Оффлайн Protey

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: apache в chroot-среде
« Ответ #14 : 18 Сентябрь 2007, 18:48:34 »
2IS
тогда какой посоветуете из вееликого множества разновидностей для человека, просидевшего всю жизнь на windows и не так давно перешедшего на Unix системы, желающего развернуть небольшой Web-сервер с поддержкой ftp?
плюс ко всему, очень желательно наличие графической оболочки

т.е. если расставить по приоритетам (в порядке убывания):
1) Безопасность
2) Серверные возможности
3) Пользовательские характеристики (мультимедиа и пр.)

P.S. Понимаю, что сложно всё это обьединить, но всё же..

 

Страница сгенерирована за 0.063 секунд. Запросов: 22.