apache в chroot-среде

[Protey]

нарыл статейку в интернете http://www.securitylab.ru/analytics/216289.php
собственно, дело встало за созданием устройства /chroot/httpd/dev/log
как его создать?
в подробностях, если можно, т.к. знаний явно не хватает

и ещё:
допустим если я с помощью mount эмулирую под chroot место с другого устройства, как думаете, эффект от всей этой затеи не испортится?

[Lolka]

Ставить OpenBSD, там chroot для apach'a по умолчанию =)
А вообще лучше использовать jail'ы, потому что chroot'ом одного апача дело не закончится. Потом понадобится sendmail и так далее, будет море мороки.

[kiev]

или федору - там кажется если включить se-linux то тоже что-то вроде chroot будет

[Protey]

что за jail'ы?
впервые слышу, если честно

просто у меня очень остро встал вопрос безопасности, вот и ищу как максимально машину закрыть от атак извне, а к убунте уже привык

[IS]

Ставить OpenBSD, там chroot для apach'a по умолчанию =)
А вообще лучше использовать jail'ы, потому что chroot'ом одного апача дело не закончится. Потом понадобится sendmail и так далее, будет море мороки.

Или ставить ALTLinux. 

[Lolka]

Джайл создает якобы виртуальную еще одну систему, у которой есть полоноценное дерево системных каталогов и демоны (ssh, www и так далее) , т.е. оказавшись в джайле, человек может даже не догадаться, что он находится в виртуальном сервере а не в настоящем. Видели рекламу когда нибудь, где пишут "Раздаем рут доступ"? Вот таким приблизительно образом это все и делается. На довольно мощном севере устраивается куча джайлов, каждый для своего хоста, а на родительский сервер на интерфейс навешиваются алиасами десяток IP адресов, каждому джайлу свой. Есть некоторые минусы, но они обходятся и в свете преимуществ незначительны =)
http://en.wikipedia.org/wiki/FreeBSD_Jail

[Protey]

2Lolka
а на ubuntu такая система возможна?

[Lolka]

Вообще штука оригинально Фряшная, но 100 к 1 для debian/ubuntu есть похожая виртуализационная фича =)

[Protey]

узнать бы какая именно..

[Protey]

а про OpenVZ что скажете?
она вроде все виды Линукса поддерживает.. по крайней мере в Wiki в требованиях к системе никаких разграничений нет, а просто написано Linux

[Protey]

подкажите же кто-нибудь!
очень важный для меня вопрос!

[IS]

подкажите же кто-нибудь!
очень важный для меня вопрос!

Я думаю, что Вам лучше подписаться на список рассылки Sysadmins на сайте ALTLinux,
поскольку ALTLinux Server 4.0 изначально "заточен" под OpenVZ, то там Вы и сможете получить более
квалифицированные ответы по этой теме. 

И, кстати, в дистрибутивах от ALT большинство потенциально привлекательных для атак сервисов
изначально "живут" в среде chroot. (это как раз имеет прямое отношение к теме данного обсуждения).

Правда в последнее время в альтовских рассылках не очень здоровая (с моей точки зрения)
обстановка, особенно с вопросами типа Вашего:

а про OpenVZ что скажете?

Или просто пошлют доки читать или начнут откровенно хамить... 
Но кто его знает... может у Вас что и получится... 

А что касаемо моего мнения по поводу OpenVZ, то скажу только одно, тема очень интересная и
доки по ней можно найти и на альтовском сайте и просто в и-нете. Но эта штука не очень простая
в настройке и прежде чем за нее браться, следует основательно ознакомиться с документацией,
хорошенько "въехать" в тему, а уж потом.... 

[Protey]

2IS
спасибо Вам за ответ
просто у нас в городе самая лучшая поддержка из всех разновидностей Linuxa, это Ubuntu, поэтому и приглянулась она
а про ALT Linux ничего не слышно..
вот и хотелось бы узнать, как лучше всего обезопасить именно Ubuntu от атак со стороны

[IS]

2IS
спасибо Вам за ответ
просто у нас в городе самая лучшая поддержка из всех разновидностей Linuxa, это Ubuntu, поэтому и приглянулась она
а про ALT Linux ничего не слышно..
вот и хотелось бы узнать, как лучше всего обезопасить именно Ubuntu от атак со стороны

IMHO убунтовский сервер "из коробки" вряд ли для этого годится...
Как сервер внутри организации, не выставляющий наружу сервисов - он очень даже пойдет, а вот если наружу...
то либо брать большой напильник либо брать другой дистрибутив....
Кстати, альтовские дистрибутивы хоть и rpm-based тем не менее используют все тот же apt, так что тем кто привык к убунте и дебиану привыкать не придется... 

[Protey]

2IS
тогда какой посоветуете из вееликого множества разновидностей для человека, просидевшего всю жизнь на windows и не так давно перешедшего на Unix системы, желающего развернуть небольшой Web-сервер с поддержкой ftp?
плюс ко всему, очень желательно наличие графической оболочки

т.е. если расставить по приоритетам (в порядке убывания):
1) Безопасность
2) Серверные возможности
3) Пользовательские характеристики (мультимедиа и пр.)

P.S. Понимаю, что сложно всё это обьединить, но всё же..