最近我被告知用户有我的系统“炮轰”。 虽然在Apache错误日志等没有任何不寻常的活动或错误,我宁愿安全,而不是遗憾。
所以:如果我运行chroot Apache,它会阻止shell脚本能够检索敏感信息吗? 即能够做一个mysqldump或类似的东西,不pipe如果具有数据库细节的configuration文件在Apache监狱?
谢谢
那么它会提高Apache实例的安全级别:)。 就我所知甚至用chroot脚本仍然可以执行(取决于你有什么其他方法)
请看这里http://www.petefreitag.com/item/505.cfm(20快速措施,以确保您的Apache实例)。 你可以在这里find更多关于保护Apache的信息http://www.amazon.com/Apache-Security-Ivan-Ristic/dp/0596007248/ref=sr_1_1?ie=UTF8&qid=1338881835&sr=8-1 。
根据你的环境和apache的重要性/暴露程度,我会采取几个措施不仅chroot。
chrooting将阻止访问大多数工具(即/ bin / / sbin / etc)和设备,但是如果您通过unix套接字使用mysql,则仍然需要在apach chroot中公开该套接字。 chrooting也不会阻止访问本地TCP端口。
如果你的目标是防止由Apache本地执行,我build议使用selinux。 有很多描述这个的文档,但我更喜欢Fedoras apache setup [1]或者更一般的Centos wiki [2]
[1] http://fedoraproject.org/wiki/SELinux/apache [2] http://wiki.centos.org/HowTos/SELinux