[Apache] Kennt jemand mod_chroot / mod_security?

[andreask2]

Hallo!

Bin gerade über folgendes Apache-Modul gestolpert (1.3): http://core.segfault.pl/~hobbit/mod_chroot/

INSTALL klingt ja fast zu schön um wahr zu sein ;-)

Gut - es schützt nicht überall vor - aber doch vor einigen oft vorkommenden Angriffsmethoden. Was haltet Ihr davon?

Grüße
Andreas

[scuba303]

also ich bin dank apache2 buch über mod_secure gestossen. da kommt diesen monat noch version 1.8 raus. die hat auch ne chroot option.

[andreask2]

http://www.modsecurity.org/

In der Tat, sehr interessant! Hast Du das bei Dir laufen, oder schon getestet? Den Artikeln nach zu urteilen scheint es durchaus stabil/zuverlässig zu sein!

Was haltet Ihr sicherheitstechnisch davon? Natürlich ist es kein 100%iger Schutz, aber die meisten Angriffsversuche funktionieren ja mehr oder weniger automatisch, ich denke mit den zur Verfügung stehenden Maßnahmen kann man durchaus ne Menge davon abfangen.

Grüße
Andreas

[majortermi]

http://www.modsecurity.org/

Was haltet Ihr sicherheitstechnisch davon?

Ich halte überhaupt nichts davon, da es entweder so locker konfiguriert sein muss, dass es nichts bringt, und das Sicherheitsrisiko eher durch den zusätzlichen Code im System steigt (allein in letzter Zeit sind AFAIK zwei Buffer-Overflows in mod_security bekannt geworden), oder man konfiguriert es so streng, dass viele eigentlich zulässige Requests geblockt werden, was den Webserver unbrauchbar macht. Also lieber selbst richtig konfigurieren und bei den eigenen Skripten aufpassen.

[floschi]

Es hat sich leider im Praxiseinsatz bei uns nicht bewähren können, da zuviele 500er Fehler kamen.

[captaincrunch]

...wobei in diesem Fall die richtige Konfiguration leider besonders haarig ist, da die Dinge, die man eigentlich rausfiltern möchte hier besprochen werden. ;)

[highlander74]

...und any Erfahrungen zu mod_chroot ? ;)

[mutombo]

wenn du nur chrooten willste kannste auch mod_security benutzen, bei mod_chroot hab ich keine ahnung, wird aber im endeffekt dasselbe bewirken.

ich würde mir aber lieber mal selber einen chroot erstellen :)
lernt man ne menge über sein system und speziell bei php und co mußt du eh noch einiges rüberkopieren, die mods wirken meist nur beim nem reinen apache ohne php,perl,etc.

[nn4l]

Ich hatte früher auch Apache, MySQL usw. in je einem chroot laufen, nachdem ich bei einem neuen Server aber einen grsecurity Kernel ausprobiert habe, möchte ich die grsecurity Funktionen nicht mehr missen.

Man kann sehr viel mehr machen, z.B. kann man die Ausführung von jedwedem Code in einem tmp-Directory unterbinden, unterschiedliche permissions je nach User vergeben usw. Mit chroot geht das alles nicht.

Wenn man sich noch nicht in die chroot Problematik eingearbeitet hat, hat man vielleicht mehr davon, wenn man die Zeit in grsecurity investiert.

[mutombo]

Wenn man sich noch nicht in die chroot Problematik eingearbeitet hat, hat man vielleicht mehr davon, wenn man die Zeit in grsecurity investiert.

grsecurity ersetzt keinesfalls einen chroot.
mit grsecurity ist es allerdings möglich die sicherheit eines chroots weiter zu erhöhen.

[majortermi]

grsecurity ersetzt keinesfalls einen chroot.

Mit RSBAC u.U. schon. Schließlich kann man damit einen Benutzer so weit "einsperren", dass er auch nicht mehr machen kann, als in einer chroot-Umgebung.

[captaincrunch]

RSBAC bietet kein chroot, wie man es sich vielleicht landläufig vorstellt, sondern Jails, die eher mit denen aus FreeBSE vergleichbar, dafür aber extrem einfach einzusetzen sind.

Sofern man sich etwas mit RSBAC auskennt, benötigt man aber eigentlich kein Jail mehr, da man alleine mit dem ACL- und MAC-Modell schon viel mehr erreichen kann.