Тема: mod_security chrooting Apache 2.2.* trouble
Показать сообщение отдельно

  #5  
Старый 04.12.2007, 12:27
ZaCo
Banned
Регистрация: 20.06.2005
Сообщений: 880
Провел на форуме:
4610226

Репутация: 1332


По умолчанию
>>Скажу больше, если rewrite_module ZaCoмментировать то ошибка исчезает. Как от неё избавиться??

ну наверное он не может сделать вызов flock на файл логов, тк файла нет) путь к файлу задается через rewritelog. про ссл в гугле посмотри, я думаю аналогично

>>Тут самое интересное) Если апач так не "запереть", то получим практически
>>свободный серф по файловой системе сервера с правами на чтение (FreeBSD в
>>данном случае, права по умолчанию при установке на большинстве файлов 755)

а чего? это архитектура системы такая. очень мало людей пока жалуются на такую в общем случае неполноценную систему прав, хотя конечно было бы удобно если в следующих дистрибутивах как линукс, так и бсд включали нечто вроде selinux. в твоем случае, если хочется делать супербезопасный веб-сервер задача сводится к извращенному построению ОС со своими правами уровня апача, а точнее процесса апача, а учитывая то, что на это способен только рут (ну по-хорошему естественно, я про setuid, setgid) так выгибаться не стоит.

>>Установка всего в /chroot на самом деле далеко не тупая..

я не говорил о бездумности решения загонять апач в чрут, наоборот. я имел ввиду, что, например, если у тебя в планах поддерживать cgi, то тебе придется устанавливать все с --prefix=/chroot/usr/local ну это то еще ладно, а если приложению потребуется вызов внешней утилиты? ясное дело копировать bin глупо, потому что чему-нибудь понадобиться что-нибудь и из lib каталога, короче говоря, так можно проще сделать cp -R * /chroot только это совсем нелепый вариант так я и спрашиваю, как ты собираешься после чрут организовавыть доступ к тому что было? а не проще ли вообще в чрут не загонять? хотя естественно, если цги не требуется это почти не нужно.. для пхп-сайта чрут лучшее решение однозначно, только не забудь

ln /tmp/mysql.socket /chroot/tmp
/chroot/var/log имеется?

>>Ну я не знаю как тебе доказать что это работающий симлинк =)
да нет, я просто подумал что в чруте у тебя симлинк на /usr/local/etc/apache22)

>>Так что man ln не ко мне ln -s [куда] [откуда]
гг наоборот

>>Подчеркиваю, что вся эта связка с первым апачем себя прекрасно чувствовала и работала без каких-либо нареканий.
если у тебя посещаемость не вот какая огромная, то оставь первый..