Chrooter les vhosts d'Apache2


#1

Voilà j’ai testé ceci wacker-welt.de/webadmin/

J’ai accès à toute l’arborescense de mon disque y compris les fichiers de configuration genre MySQL, Apache, ProFTPd etc…

J’aimerai savoir si un chroot sur chaques vhosts arrangerai les choses et si oui comment je pourrai mis prendre ?

Merci d’avance :wink:


#2

un filemanager en php, et tu essayes de sécuriser ?
:mrgreen:
bon, déjà, quoiqu’ayant accés aux fichiers, au moins, j’éspère que ça respect les droits de l’utilisateur, et que ça ne travaille pas en tant que www-data, parceque ça serait VRAIMENT grave.
Sinon, je ne sais pas trop, mais AMA, c’est apache qu’il faut chrooter.
Ce qui ne veut pas dire qu’il n’y ait pas un moyen de limiter l’accés à /var/www d’une autre manière, mais le chroot, ç’est forcément sur ton serveur web, puisque webadmin n’est pas en soit une appli.


#3

Il n’y a pas moyen de sécuriser PHP ? Genre comme avec la commande shell_exec() en safe mode ?

Ca me travail un peu quand même, j’ai 90 sites hébergés donc jveux pas qu’un pauvre type ruine tout les sites :confused:


#4

Ah, mais il y a d’autant plus de choses à sécuriser que le logiciel que tu veux sécuriser est complexe.
Hors, qu’y a t il de plus complexe comme soft qu’un interpreteur. Et en plus, tu donnes la possibilité d’ecrire du code à 90 personnes minimum ?
Et naturellement, tu n’as pas froid dans le dos ?
:mrgreen:
Bon, je ne dis pas que php soit plus dangereux qu’un autre language de script, mais il faut se rappeler que c’est TOUJOURS dangereux.

Alors, un “filemanager”, AMHA, si il n’est pas inclus dans une distrib serieuse comme debian, et donc dans un process de correction des failles, ça serait “niet” en ce qui me concerne sur une machine en prod.

Maintenant, si tu fais tourner ton apache dans un chroot, tu protèges déjà ce qui est à l’exterieur, et ca vaut aussi pour les scripts de tes 90 sites, pas seulement ton fm…


#5

slt all,

Le plus simple, ont est d’accord ont chroot apache sur le serveur maitre (au cas ou apache serait faillible l’exploitant sera chrooté dans l’env…), ont créer les vhosts pour chaque clients, dans ces vhosts il y a une directive qui permet de paramétré php pour chaque client, ensuite si tu utilise les connexions il faut que tu modifie le demon du service concerné (ftp, ssh) pour qu’il chroot dans l’env du client.

Ps: Si tu as beucoup de client penche sur des solutions de mass hosting.

hostingsoftware.net/
ac-creteil.fr/reseaux/system … pache.html section Héberger plusieurs sites WEB…


#6

Merci, je vous tiens au courant.
Je préfère tout faire moi même pour apprendre, donc les solutions de mass hosting je verrai plus tard :stuck_out_tongue:
Si vous avez d’autres idées, je suis prenneur :wink:


#7

As tu au moins regardé les liens de stonfi pour dire ça ? :wink:

En particulier, en lisant deuxiême, ça m’a donné l’idée d’un deuxiême serveur, chrooté, ne faisant tourner que le filemanager.
Par exemple.


#8

boh, je te conseilles de regarder sur google les tutos sur “howto secure php”, yen a beaucoup, et tu glanera pas mal d’info parci, parla …

Sinon, php en safe mode, oué c’est clair que ça va limiter déja beaucoup, beaucoup les dégats, mais ça suffit pas forcément, faut aussi interdire quelques fonctionnalitées de php, :wink:

Good luck,


#9

[quote=“MattOTop”]As tu au moins regardé les liens de stonfi pour dire ça ? :wink:

En particulier, en lisant deuxiême, ça m’a donné l’idée d’un deuxiême serveur, chrooté, ne faisant tourner que le filemanager.
Par exemple.[/quote]

Arf j’avais pas vu les liens, j’ai cru que c’était sa signature. :blush:


#10

Je dois pas être doué, mais j’arrive pas à chrooter Apache 2 …
J’ai suivi ce tuto, il ne met rien en cage :cry:
Quelqu’un a déjà essayé ?


#11

Bon alors j’ai pas chrooté Apache 2.

J’ai rajouté dans les vhosts de mes hébergés ceci :

php_admin_value open_basedir /media/160go/hebergement/matrix59/ php_admin_value safe_mode 1
En gros ca désactive les fonctions shell_exec(), system(), etc pour le répertoire matrix59 et ca bloque le user dans son répertoire. Le filemanager n’a plus aucuns effets :laughing: .

Je montre un des vhosts utilisés par Apache 2 :

[code]
<VirtualHost *>
php_admin_value open_basedir /media/160go/hebergement/matrix59/
php_admin_value safe_mode 1

    ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
    <Directory "/media/160go/hebergement/matrix59">
            AllowOverride All
            Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
            Order allow,deny
            Allow from all
    </Directory>

    DocumentRoot /media/160go/hebergement/matrix59
    ServerName www.matrix.goldzoneweb.info
    ServerAlias *matrix.goldzoneweb.info
    ErrorLog /media/160go/hebergement/logs_apache2/www.matrix.goldzoneweb.info-error.log
    CustomLog /media/160go/hebergement/logs_apache2/www.matrix.goldzoneweb.info-access.log combined

[/code]

Voilà.

EDIT : Je précise que je ne voulais mettre ce FileManger en prod, c’est juste que j’ai testé celui-ci et que je me suis aperçu de ce trou de sécurité énorme.