Buona risorsa per chroot Apache2 su Debian

Ho bisogno di una risorsa migliore di questo o di questo su come proteggere Apache2 utilizzando chroot in un sistema Debian. Sembra che la maggior parte degli articoli riguardi Apache1. Ho cercato di seguirli e adattarmi ad Apache2, ma ha avuto solo risultati negativi.

  • Un numero crescente di connessioni TIME_WAIT influenza le performance del server?
  • Perché mdadm scrive inutilizzabilmente lento quando montato in modo sincrono?
  • Utilizza WebSVN come visualizzazione HTML predefinita
  • NTP è in esecuzione, orologio di sistema ancora non in tempo - cosa dà?
  • SElinux: consente a httpd di connettersi a una port specifica
  • Perché i miei avvisi DNS sono così lunghi (300 + ms) quando accedono al mio sito web?
  • Dove si trova maildirmake?
  • Rsnapshot a più destinazioni (o per mantenere la struttura dei collegamenti duri)
  • Facile espandere il software RAID 5 di Linux con XFS. Migliori pratiche?
  • Utente regolare che utilizza porte inferiori a 1024
  • Come funzionano MaxSpareServers in Apache?
  • Esiste un modo per utilizzare la session multiplexing (Control Master) dalle windows?
  • 3 Solutions collect form web for “Buona risorsa per chroot Apache2 su Debian”

    È ansible utilizzare mod_security per farlo per voi molto facilmente.

    La documentazione è qui .

    Basta installare libapache-mod-security e aggiungere la seguente row al tuo apache.conf.

    SecChrootDir /chroot 

    Dal momento che si esegue Debian, il mio consiglio sarebbe quello di utilizzare solo il makejail, che crea con facilità prigioni vecchi (esterni). Ho usato molte volte senza problemi. Ho originariamente trovato l'idea interna del chroot implementata in ModSecurity (io sono l'autore), che è stata successivamente implementata da mod_chroot ed è ora disponibile in Apache stesso. Se avessi conosciuto il makejail al momento, non avrei mai preoccupato di nient'altro. Detto questo, la struttura interna chroot è generalmente molto facile da usare se le tue esigenze non sono complesse. È molto importnte scegliere la struttura di directory corretta. Ad esempio, metta la tua prigione in / chroot / opt / apache, quindi crea un symlink / opt / apache su / chroot / opt / apache. (È passato un po 'perché ho chrootato il magazzino Debian Apache e non ricordo where esattamente l'Apache è installato.) Questo renderebbe i routes all'interno e all'esterno della prigione identica, che è fondamentale.

    Inoltre, il capitolo 2 di Apache Security (che ho scritto) è disponibile online da http://www.apachesecurity.net . Contiene una discussione dettagliata sulle istruzioni chroot e step-by-step. Inizia a pagina 40.

    – Ivan Ristić ModSecurity Handbook & SSL Labs

    Questo sembra un modo semplice, ma è davvero sicuro?

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.