Apache in chroot

[blaufrosch]

Wer kann mir helfen?
Ich möchte meinen Apache in einer chroot-Umgebung laufen lassen.
Kennt jemand ein deutsches HOWTO dazu?

[captaincrunch]

Such dir eins aus :

http://www.google.de/search?q=apache+ch ... DcountryDE

;)

[blaufrosch]

Mh... 8O
Googeln kann ich selber :?
Mein Problem ist es dort was wirklich brauchbares herraus zu lesen. Vielleicht stell ich mich ja etwas dusselig an, aber bisher konnte man zu allen Themen was brauchbares finden. Ich finde immer nur fertige Perl-Skripte (kann Perl net) oder allgemeine Hinweise zu irgendwelchen Problemen. Ich hätte nur sehr gerne einfach nur ne kurze Beschreibung (Verzeichnis kreieren, User kreieren, alles brauchbare ermitteln und in die chroot-Umgebung kopieren, Anwendung (Apache) starten.
Aber das finde ich nirgends in deutsch :roll:

[dodolin]

Aber das finde ich nirgends in deutsch

Dann solltest du dies vielleicht mal zum Anlass nehmen, dein Englisch aufzupolieren.

[blaufrosch]

:oops: Danke für den Hinweis, bin noch gar net drauf gekommen , rofl :roll:
Werd mich bessern

[mutombo]

ich hab meinen apache mittels mod_Security chrooted, die neueste cvsversion macht das mit einer configline. mußte bisher nur den mysql.sock ins chroot verschieben und bin/mail. mod_ssl mag noch nicht ganz, das wollte ich morgen mal ausprobieren.

[blaufrosch]

Au, das hört sich interessant an. Lass mal hören ob du das gepackt hast

[mutombo]

ich moment kämpfe ich noch mit dem mailsystem. das komplette mailsystem auch ins chroot zu verschieben mochte ich möglichst vermeiden. deshalb probiere ich mini_sendmail aus, was sich leider als etwas bockig herausgestellt hat. es gibt da wohl probleme mit php_mail().

mir wäre sehr geholfen, wenn jemand eine phpmail testapp wüßte. Also ein möglichst einfaches phpscript das php_mail verwendet.

mod_ssl hab ich bisher nichtmehr probiert, müssen aber vermutlich nur ein paar benötigte pfadeangelegt werden. das mailproblem ist momentan wichtiger :)

[squize]

Wenn es dir um chroot geht, kann ich dir postfix empfehlen, dass ein sehr modular aufgebauter MTA ist und dadurch kannst du die verschiedenen Module auch chrooten oder nicht.

Würde ich mir auf jeden Fall mal anschauen.

[mutombo]

Wenn es dir um chroot geht, kann ich dir postfix empfehlen, dass ein sehr modular aufgebauter MTA ist und dadurch kannst du die verschiedenen Module auch chrooten oder nicht.

Würde ich mir auf jeden Fall mal anschauen.

danke,
postfix is eh drauf, aber ich wußte nicht das man die Module auch seperat laufen lassen kann.
Werd ich mich mal mit auseinandersetzen, bisher verwende ich da noch die von puretec übernommene standardconfig.

Am besten wäre es natürlich wenn die mails einfach nur zum laufenden Postfix durchgereicht werden.

[walsleben]

Hast du das mini_sendmail zum laufen bekommen ?
compilieren ist auf meinem Suse 8.2 kein Problem, aber wenn ich es nutzen will kommt nur connection refused. :(
ich hab man fprinf in den source eingebaut und weiß mittlerweile auch wo er bei mir hängenbleibt.
Aber leider bin ich kein C++ Freak und hänge da jetzt ein wenig fest.
Hab es dann auch mal mit der Version aus dem Mandrake RPM paket probiert.
Installieren kein Problem, er findet auch alle Librarys (mit ldd gecheckt) aber trotzdem connection refused.

Wer weiß weiter ?

[squize]

Ohne jetzt genau Bescheid zu wissen:

Könnte es daran liegen, dass du das Progg nicht unter dem user Root startest. Musst du auf jeden Fall, da sonst ein ein bind an einen priviligierten Port in die Hose geht.

Ist natürlich eine sehr vage vermutung, da ich keine Ahnung von deinem Programm habe.

Gruss

Marc

[mutombo]

Hast du das mini_sendmail zum laufen bekommen ?
compilieren ist auf meinem Suse 8.2 kein Problem, aber wenn ich es nutzen will kommt nur connection refused. :(
ich hab man fprinf in den source eingebaut und weiß mittlerweile auch wo er bei mir hängenbleibt.
Aber leider bin ich kein C++ Freak und hänge da jetzt ein wenig fest.
Hab es dann auch mal mit der Version aus dem Mandrake RPM paket probiert.
Installieren kein Problem, er findet auch alle Librarys (mit ldd gecheckt) aber trotzdem connection refused.

Wer weiß weiter ?

hast du mini_sendmail mal aus der commandozeile heraus probiert, oder gleich über php ?

mit

Code: Select all

echo 'Subject: test' | ./mini_sendmail -v -s 127.0.0.1 jef@acme.com

sollte es eigentlich gehen.

ich mußte bei mir strangerweise den server immer mit -s angeben. auch wenns localhost war.

leider hatte ich nichtmehr soviel zeit mit dem chroot weiterzumachen und die 3 gb platte in meinem testsystem hat leider auch den geist aufgegeben, sonst würde ich nochmal genau nachgucken.

theoretisch sollte mini_sendmail -t eigentlich normale maildateien nach absendern parsen und dann verschicken. aber php gibt da wohl noch unbekannte parameter mit die sendmail nicht verarbeiten kann.
soweit hatte ich das zumindest im gedächtnis ;)

[nn4l]

Ich verwende in meiner Apache Chroot Umgebung ssmtp-2.48: ein minimaler sendmail-Ersatz, welches die emails einfach an einen anderen mail host über den Port 25 weiterleitet.

Funktioniert wunderbar.

[mutombo]

Ich verwende in meiner Apache Chroot Umgebung ssmtp-2.48: ein minimaler sendmail-Ersatz, welches die emails einfach an einen anderen mail host über den Port 25 weiterleitet.

Funktioniert wunderbar.

danke vielmals. das hört sich verdammt gut an. mini_sendmail macht zwar im endeffekt das gleiche(bzw sollte es das ;) ), hat aber wie gesagt so einige probleme.

[squize]

Wenn du komplett auf extratools verzichten willst, dann gibt es da noch phpmailer, der alles was du brauchst direkt aus PHP heraus macht. Ist eine sehr einfach zu handhabende und leistungsstarke Klasse.

Würde ich mir an deiner Stelle mal anschauen.
Gruss

Marc

[footh]

Hallo!

@mutombo

Ich möchte auch gerne mal versuchen per mod_security den Apachen zu chrooten, nur leider klappt das nicht so recht.
Gebe ich die Secrule, daß er Apache chrooten soll, dann kann ich auf den Internetseiten des Servers nicht mehr herumsurfen, sprich, die Homepage öffnet sich zwar aber die Links verfolgen, das geht nicht mehr.

Würde es dir etwas ausmachen, mir ein kleines Config-Howto zu schreiben wie du vorgegangen bist, wie ich mit mod_security den Apache korrekt chrooten kann, ohne das die Internetseiten danach einfach einfrieren?

MFG
footh