Недавно мне сказали, что у пользователя моя система «обстреляна». Хотя в журнале ошибок Apache и т. Д. Не было никаких необычных действий или ошибок, лучше перестраховаться.
Итак: если я запустил chroot Apache, не помешает ли это скриптам оболочки получать конфиденциальную информацию? Т.е. возможность выполнить mysqldump или что-то в этом роде независимо от того, находятся ли файлы конфигурации с деталями базы данных в тюрьме apache?
Спасибо
chrooting предотвратит доступ к большинству инструментов (например, / bin / / sbin / и т. д.) и устройствам, но если вы используете mysql через сокет unix, вам все равно нужно будет открыть этот сокет в apache chroot. chrooting также не предотвратит доступ к локальному TCP-порту.
Если ваша цель - предотвратить локальное выполнение Apache, я предлагаю использовать selinux. Есть много документов, описывающих это, но я предпочитаю установку Apache Fedoras [1] или более общую вики Centos [2]
[1] http://fedoraproject.org/wiki/SELinux/apache [2] http://wiki.centos.org/HowTos/SELinux
Что ж, это повысит уровень безопасности экземпляра Apache :). И насколько я знаю, даже с chroot скрипты все еще могут выполняться (в зависимости от того, какие другие методы у вас есть)
Пожалуйста, посмотрите здесь http://www.petefreitag.com/item/505.cfm (20 быстрых мер по защите вашего экземпляра apache). Вы можете узнать больше о защите Apache здесь http://www.amazon.com/Apache-Security-Ivan-Ristic/dp/0596007248/ref=sr_1_1?ie=UTF8&qid=1338881835&sr=8-1 .
В зависимости от вашей среды и от того, насколько важен / открыт apache, я бы принял несколько мер, не только chroot.