[FUGSPBR] Apache CHROOTed + qmailadmin

Renato - Jet Sites renato em jetsites.com.br
Sex Dez 5 15:20:05 BRST 2003 

Patrick Tracanelli wrote:

>Olá Renato
>
>Chrootar o Apache não é meio paranóico? (alo, Theo de Raadt).
>
Hmm, não acho não. Acho que tudo que puder ser chrroted deve ser (tipo 
named, apache, mysql, etc).
Vai que por uma infelicidade alguém consegue explorar uma falha no 
apache e abre um shell.
Se o shell estiver chrootado já barra os menos habilidosos.
Também acho que nada relacionado a segurança de servidor é paranóico. 
Melhor pecar pelo exagero do que pela falta.

>Outra opção é utilizar a montagem de low layer uppler layer entre os
>diretórios. Dessa forma você consegue montar o diretório X no ponto de
>montagem Y e o sistema apresenta-o colo se realmente estivesse montado e
>determinado ponto, e não um mero link simbolico. Assim o seu
>/chroot/apache/home/vpopmail pode ser um ponto de montagem para
>/home/vpopmail e não apenas um link simbolico.
>
Isso é interessante. Não conhecia. Vou pensar nessa possibilidade sim. 
Não vou montar o vpopmail sobre o chroot do apache porque além do 
retrabalho eu teria que montar o qmail junto e ia ficar meio porco.

>Se o seu /home/vpopmail for uma particao dedicada (e é ideal que seja), ai
>fica mais facil, basta você
>
>mkdir -p /chroot/apache/home/vpopmail && \
>mount /dev/adXsYZ /chroot/apache/home/vpopmail
>
Infelizmente por alguns motivos não é. Está na mesma partição.

>Particularmente acho que o Apache oferece recursos o bastante para ser
>seguro o suficiente em um ambiente não-CHRootado, e sua experiência como
>administrador (/tmp em particao separada, noexec, nosuid, nodev), etc,
>evitariam até que o fatídido Scalper fizesse alguma diferença em instalacoes
>vulneraveis do Apache 1.3. Além do que você perde funcionalidades do Apache
>como /~usuario
>
O Apache até oferece bastante recurso mas acho que confiar tanto assim 
não é um bom negócio.
Fora que num ambiente chrooted o /tmp fica sendo só do apache, ou seja, 
uma preocupação a menos.

>Mas enfim, apesar de desnecessário com Apache, paranóia nunca é mal-vinda.
>Estas são as opções que eu poderia aconselhar inicialmente.
>  
>
Obrigado pela ajuda. Vou tentar fazer o esquema do low layer uppler 
layer, espero que sirva.

-- 

Renato Quinhoneiro Todorov
Administração Linux / Programação
renato em jetsites.com.br
http://www.jetsites.com.br


_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd