Debianシステムでchrootを使用してApache2を保護する方法については、 this または this よりも優れたリソースが必要です。ほとんどの記事はApache1を扱っているようです。私はそれらをフォローしてApache2に適応しようとしましたが、悪い結果しか得られませんでした。
mod_security を使用すると、これを非常に簡単に行うことができます。
ドキュメントは ここ です。
Libapache-mod-securityをインストールし、Apache.confに次の行を追加するだけです。
SecChrootDir /chroot
Debianを実行しているので、古いスタイルの(外部)jailを簡単に作成するmakejailを使用することをお勧めします。何回も問題なく使っています。私は当初、ModSecurityに実装された内部chrootのアイデアを思いつきました(私は作成者です)。これはその後mod_chrootによって実装され、現在はApache自体で利用できます。当時、私がmakejailについて知っていたら、他のことを気にすることはなかったでしょう。そうは言っても、内部のchroot機能は、要件が複雑でない場合、一般的に非常に簡単に使用できます。正しいディレクトリ構造を選択することは非常に重要です。たとえば、jailを/ chroot/opt/Apacheに配置してから、/ chroot/opt/Apacheへのシンボリックリンク/ opt/Apacheを作成します。 (ストックのDebian Apacheをchrootしてからしばらく経ちましたが、Apacheがどこにインストールされているか正確に覚えていません。)これにより、刑務所の内外のパスが同一になります。これは重要です。
また、Apache Securityの第2章(私が書いたもの)は、 http://www.apachesecurity.net からオンラインで入手できます。 chrootとステップバイステップの手順に関する詳細な説明が含まれています。 40ページから始まります。
--IvanRistić ModSecurity Handbook & SSL Labs