web-dev-qa-db-ja.com

RHEL7のApache2.4でchrootは可能ですか? chrootするのは理にかなっていますか?

調査したところ、chrootがセキュリティに役立つかどうかわからないことがわかりました。私はこれらの質問に答えられないままにしています。 rhel7のhttpd2.4で実行できる場合、chrootする価値はありますか?リソースまたはリファレンスを共有してください。そうでない場合、Webサーバーを保護するための同等の方法は何でしょうか?

前もって感謝します。

1
Dextro67

これは以前に議論されました: CentOSでApacheをchrootする方法?

はい、Apacheをchrootすることは可能です。 Apache 2.4では、mod_unixdモジュールが必要です( https://httpd.Apache.org/docs/2.4/mod/mod_unixd.html )。このページではその方法を説明しています: https://www.howtoforge.com/tutorial/chrooting-Apache-2.4-with-mod_unixd-on-debian-8-jessie/ Debianのガイドですが、Apache 2.4で使用するディレクティブについて説明しているだけなので、RHELでも機能するはずです。

そうは言っても、知覚された利益はコストに見合う価値があるとは思いません。この古代(2004年5月)のドキュメントでは、Apacheのchrootの長所と短所について説明しています。記事からの1つの重要なフレーズ:

Apacheをchrootjailにインストールしても、Apache自体の安全性は向上しません。むしろ、Apacheとその子プロセスのアクセスをファイルシステムの小さなサブセットに制限するのに役立ちます。プロセスをchrootすることの利点は、侵入を防ぐことではなく、潜在的な脅威を封じ込めることです。

そして、前述の質問/回答が言うように、侵入者を封じ込めるはるかに良い方法は、RHELのすでに提供されているセキュリティ機能であるSELinuxを使用することです。ほとんどの管理者は、インストール時にこれをオフにするだけなので、頭痛の種に対処する必要はありません。ただし、この強力な機能を少し学ぶことで、今後の頭痛の種を大幅に減らすことができます。

1
Joe

本当にシステムを強化したい場合は、SELinuxの使用を検討してください。 Apachechrootジェイル。 RHEL7はcentos7に似ており、どちらもApache 2.4を実行するため、次のことが役立つ場合があります。

http://www.zedwood.com/article/centos7-Apache-chroot-jail

0
velcrow