Configurando apache + mod_chroot

Crie os diretórios "conf.d" e "vhosts", no diretório do Apache, que dependendo da instalação é "/etc/httpd" ou "/etc/apache2".

# mkdir -pv [APACHE_DIR]/{conf.d,vhosts};

Crie os arquivos de configuração para o mod_chroot:

Para ambos (Debian-like e RedHat-like) em "/etc/apache2/conf.d/" ou "/etc/httpd/conf.d/"



Para RedHat-like em "/etc/httpd/conf.d/":



Para Debian-like em "/etc/apache2/conf.d/":



A partir deste ponto o Apache já funcionará dentro do envolucro protegido. Entretanto completamente isolado do sistema operacional hospedeiro. Para ter algumas funcionalidades habilitadas faz-se necessário copiar os arquivos necessário para a jaula de encapsulamento.

Segue alguns dos arquivos necessários:

idiomas:

# cp -vap --parents /usr/lib/locale/{en,es,pt}* /httpdjail;
# cp -vap --parents /usr/share/locale/{en,es,pt}* /httpdjail;
# cp -vap --parents /etc/{mime.types,passwd} /httpdjail;

Arquivos compartilhados:

# cp -vap --parents /usr/share/apache2/ /httpdjail/

Configuração final

# ln -vs /httpdjail/var/run/httpd.pid /var/run/httpd.pid;
# cp -vap --parents /etc/apache2 /httpdjail;
# mv /etc/apache2 /etc/apache2.orig
# ln -vs /httpdjail/etc/apache2 /etc/apache2;
# ln -vs /usr/lib/apache2/modules/ /httpdjail/etc/apache2
# cd /httpdjail && ln -s . httpdjail;

Esta é somente para RedHat-like, no arquivo "/etc/init.d/httpd", faça uma cópia de segurança:

# cp -ap /etc/init.d/httpd /etc/init.d/httpd.original

No inicio do arquivo "/etc/init.d/httpd" insira:



E acrescente o link para o pid, na function stop:



E também, na function reload:



;)

Referências

• http://core.segfault.pl/~hobbit/mod_chroot
• http://httpd.apache.org
• http://www.debian.org
• https://wiki.ubuntu.com/ModChroot
• http://www.howtoforge.com/chrooting-apache2-mod-chroot-debian-etch
• http://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-apache-env.en.html
• http://core.segfault.pl/~hobbit/mod_chroot/
• http://www.cyberciti.biz/tips/chroot-apache-under-rhel-fedora-centos-linux.html