Tar Asked: 2012-06-05 23:20:46 +0800 CST2012-06-05 23:20:46 +0800 CST 2012-06-05 23:20:46 +0800 CST chroot'ing Apache 以防止 shell 脚本? 772 最近有人告诉我,一个用户对我的系统进行了“加壳”。虽然 Apache 错误日志等中没有任何异常活动或错误。我宁愿安全也不愿后悔。 所以:如果我运行 chroot Apache,它会阻止 shell 脚本检索敏感信息吗?即能够执行 mysqldump 或任何类似的操作,而不管带有数据库详细信息的配置文件是否在 apache 监狱中? 谢谢 apache-2.2 chroot jail 2 个回答 Voted Best Answer Alex H 2012-06-05T23:39:02+08:002012-06-05T23:39:02+08:00 那么它会提高 Apache 实例的安全级别 :)。据我所知,即使使用 chroot,脚本仍然可以执行(取决于您使用的其他方法) 请在此处查看http://www.petefreitag.com/item/505.cfm(保护您的 apache 实例的 20 项快速措施)。您可以在此处找到有关保护 Apache 的更多信息http://www.amazon.com/Apache-Security-Ivan-Ristic/dp/0596007248/ref=sr_1_1?ie=UTF8&qid=1338881835&sr=8-1。 根据您的环境以及 apache 的重要性/暴露程度,我会采取多种措施,而不仅仅是 chroot 。 Tommy 2012-06-06T00:15:58+08:002012-06-06T00:15:58+08:00 chrooting 将阻止对大多数工具(即 /bin/ /sbin/ 等)和设备的访问,但是如果您通过 unix 套接字使用 mysql,您仍然需要在 apaches chroot 中公开该套接字。chrooting 也不会阻止访问本地 TCP 端口。 如果你的目标是防止 apache 本地执行,我建议使用 selinux。有很多文档对此进行了描述,但我更喜欢 Fedoras apache setup [1] 或更通用的 Centos wiki [2] [1] http://fedoraproject.org/wiki/SELinux/apache [2] http://wiki.centos.org/HowTos/SELinux
那么它会提高 Apache 实例的安全级别 :)。据我所知,即使使用 chroot,脚本仍然可以执行(取决于您使用的其他方法)
请在此处查看http://www.petefreitag.com/item/505.cfm(保护您的 apache 实例的 20 项快速措施)。您可以在此处找到有关保护 Apache 的更多信息http://www.amazon.com/Apache-Security-Ivan-Ristic/dp/0596007248/ref=sr_1_1?ie=UTF8&qid=1338881835&sr=8-1。
根据您的环境以及 apache 的重要性/暴露程度,我会采取多种措施,而不仅仅是 chroot 。
chrooting 将阻止对大多数工具(即 /bin/ /sbin/ 等)和设备的访问,但是如果您通过 unix 套接字使用 mysql,您仍然需要在 apaches chroot 中公开该套接字。chrooting 也不会阻止访问本地 TCP 端口。
如果你的目标是防止 apache 本地执行,我建议使用 selinux。有很多文档对此进行了描述,但我更喜欢 Fedoras apache setup [1] 或更通用的 Centos wiki [2]
[1] http://fedoraproject.org/wiki/SELinux/apache [2] http://wiki.centos.org/HowTos/SELinux