Como fazer o chroot do Apache no CentOS?

Este é o lugar onde provavelmente é mais fácil ir com o SELinux. É ainda documentado sobre como funciona com o CentOS e o Apache:

link

Em suma, se você estiver usando o SELinux e o Apache, o pior que pode acontecer é que o intruso só pode acessar e alterar arquivos dentro do mesmo domínio httpd. Esse intruso não pôde iniciar processos fora do domínio httpd ou acessar arquivos não relacionados ao httpd.

EDIT: É importante observar que o verdadeiro problema é impedir ou atenuar o escalonamento de privilégios. O Chroot pode ajudar, mas não é uma prova completa - ao procurar informações sobre a segurança do chroot, descobri isso , o que me leva a isto:

link

O importante a lembrar desse link é que quanto mais softwares você implanta no chroot, maior a chance de alguém sair da prisão. Por favor, tenha isso em mente ao tentar obter o apache, bem como as bibliotecas de suporte que trabalham na prisão chroot.

Dê uma olhada no mod_chroot

Conseguir que páginas da Web dinâmicas funcionem sob o chroot pode ser um saco, nós não conseguimos que o mod_chroot trabalhe com o Django, então uma maneira longa e manual que fizemos foi:

mkdir /chroot
''populate /chroot with everything you need, this is a long process'''
chroot /chroot /usr/sbin/apache2 -k start

Onde você tem uma cópia do arquivo binário do apache em / chroot / usr / sbin /. O comando chroot gerará o comando executado dentro da cadeia encontrada no primeiro argumento.

O preenchimento era um processo muito maior, há muitos documentos on-line com o que o Apache precisa executar e que você precisa dar uma olhada.

Existe um excelente tutorial para fazer isso no nixCraft . Tenha em mente que isso pode ser difícil de reproduzir se você planeja implantá-lo em grande escala.