Я провел свое исследование и обнаружил, что люди не уверены, помогает ли chroot в безопасности. У меня эти вопросы остались без ответа. Стоит ли chrooting, если да, можно ли это сделать для httpd 2.4 на rhel 7? Пожалуйста, поделитесь любым ресурсом или ссылкой. Если нет, то что может быть эквивалентным способом защиты веб-сервера?
Заранее спасибо.
Это уже обсуждалось ранее: Как chroot Apache на CentOS?
Да, можно chroot apache. В apache 2.4 вам понадобится модуль mod_unixd (https://httpd.apache.org/docs/2.4/mod/mod_unixd.html). На этой странице объясняется, как это сделать: https://www.howtoforge.com/tutorial/chrooting-apache-2.4-with-mod_unixd-on-debian-8-jessie/ Несмотря на то, что он претендует на роль руководства для Debian, он все равно должен работать для RHEL, поскольку в руководстве просто упоминается, какие директивы использовать в apache 2.4.
При этом я не думаю, что предполагаемые выгоды стоят затрат. В этом древнем (май 2004 г.) документе обсуждаются плюсы и минусы chroot apache. Одна ключевая фраза из статьи:
Установка Apache в chroot jail не делает сам Apache более безопасным. Скорее, он служит для ограничения доступа Apache и его дочерних процессов к небольшому подмножеству файловой системы. Преимущество chroot процесса не в предотвращении взлома, а в сдерживании потенциальной угрозы.
И, как сказано в вышеупомянутом вопросе / ответе, гораздо лучший метод сдерживания взломов - это использовать уже предоставленную функцию безопасности RHEL: SELinux. Большинство администраторов просто отключают это при установке, чтобы избавиться от головной боли. Тем не менее, немного времени на изучение этой мощной функции избавит вас от головной боли в будущем.
если ты действительно хотите укрепить вашу систему, рассмотрите возможность использования SELinux и chroot-тюрьма Apache. RHEL7 похож на centos7, они оба используют apache 2.4, поэтому это может помочь: