RootForum Community

Hallo,

ich habe einen Webserver mit PHP und Apache Mod Security installiert.

Jeder VHost läuft in einem von Mod Security eigerichteten CHROOT.

Das ganze läuft auch soweit, leider klappt der Mailversand und der Aufruf von Image Magick nicht.

Ich habe die Programme von Image Magick an die entsprechende Stelle des CHROOT kopeirt aber das hat nix gebracht.

Hat hier jemand sowas schon eingerichtet und kann mir Tipps geben?

Setze Hardlinks (man ln)...

Hab ich probiert aber das geht ebenfalls nicht, jetzt bekomm ich im typo3 setup angezeigt das sendmail insatlliert is, aber der versand klappt nicht. Die ImageMagick Files werden nach wie vor nicht geunden, hab sie nach /usr/bin/ verlinkt.

Seit wann richtet mod_sec ein Chroot ein? Das überwacht die Anfragen und Cookies, das wars eigentlich auch schon an sich. Oder hast du wirklich für jeden Vhost ein eigenes Chroot gebaut ([sarkasmus] ist ja nicht viel arbeit [/sarkasmus])?

Egal, hast du mal durch die Logs gesehen ob vielleicht der Mailversand nur wegen fehlender Authentifizierung nicht klappt? Bei ImageMagick is das so eine Kunst bei Typo3, da muss zuerst mal der Safemode anständig eingerichtet sein, zum Test schaltest du Safemode mal aus und dann testest es. Wenn du noch Module installieren möchtest, kannst du das mit Safemode eigentlich ganz vergessen.

Mit mod_security macht Typo3 sehr gerne Fehler im Backend, Directory Traversal Regeln für diesen Vhost kannste knicken, die musst du zulassen oder mod_sec abschalten bzw. eigene Regelwerke dafür anlegen. Typo3 mit mod_sec und Safemode zu betreiben ist etwas schwarze Kunst und nicht gerade einfach, vor allem nicht wenn du ImageMagick verwenden möchtest. Nach einer Zeit hab ich aufgegeben und mod_sec für die Domain abgeschalten :roll:

Lord_Pinhead wrote:Seit wann richtet mod_sec ein Chroot ein?

http://www.modsecurity.org/documentatio ... tml#N108BE

Lord_Pinhead wrote:Oder hast du wirklich für jeden Vhost ein eigenes Chroot gebaut ([sarkasmus] ist ja nicht viel arbeit [/sarkasmus])?

Mit einem Template und ein paar kleinen Skripten ist das tatsächlich kein Problem und geht automatisiert.

@mrmiagi: Wenn die Prozesse in einer chroot-Umgebung laufen, müssen alle Abhängigkeiten der Programme innerhalb der Umgebung zu finden sein. Schau dir z. B. mal die Ausgaben von `ldd sendmail` und `ldd convert` an. Wenn die nicht statisch gelinkt sind, wirst du einige Bibliotheken benötigen.

Das es wirklich ein Chroot einrichtet is mir neu, danke für die Info.

Nicht jeder hat Zeit sich ein Template zu bauen, da ist schon fast ein Vsystem besser.

Lord_Pinhead wrote:Nicht jeder hat Zeit sich ein Template zu bauen, da ist schon fast ein Vsystem besser.

Keine Zeit, ein Template für eine chroot-Umgebung zu bauen, aber Zeit einen VServer (i.w.S.) einzurichten? 8O

Lord_Pinhead wrote:Oder hast du wirklich für jeden Vhost ein eigenes Chroot gebaut ([sarkasmus] ist ja nicht viel arbeit [/sarkasmus])?

Ist es wirklich nicht. "/home/www/sbin/create-server.pl" bei mir. :)

Ein Basis-Template und dann ein ldd auf alle Binaries im chroot und das Reinkopieren der benötigten .so an die passenden Locations.

Hallo,

gibt es eine möglichkeit, dieses Script zu bekommen ???

Gruß + Danke
Marco

http://www.jmcresearch.com/projects/jail/
http://chrootsafe.sourceforge.net/

@Roger
Ein Vserver ist kein Problem mit nen Bootstrap, das ding steht innerhalb von ein paar min. wenn es drauf ankommt. Bei einen Chroot würde ich nicht einfach ein fertiges Script nehmen, sondern alles per hand machen (mit ldd und strace eine Sache von wenigen Minuten meist). Aber bei Software wie Xen ist das ja schon fast überflüssig geworden.