В статье описана технология помещения Apache в chroot окружение, совместно с MySQL, PHP и Perl.URL: http://penguin.epfl.ch/chroot.html
Новость: http://www.opennet.me/opennews/art.shtml?num=684
А может кто еще знает как заставить почту (qmail) отправляться из под chroot? Без перенесения qmail в тоже дерево, где и апачь стоять будет. Буду рад любым советам.
>А может кто еще знает как
>заставить почту (qmail) отправляться из
>под chroot?Не думаю, что есть смысл заталкивать qmail под chroot, он и без того безопасней небывает.
С апачем тоже проблемы, засунуть в chroot не проблема, проблема в том, что юзеры по прежнему могут просматривать директории соседей при возможности запуска cgi на хостинге. Если скрипт проломят или хозяин скрипта захочет - могут утянуть скрипты всех соседей, которые стоят не одну тыс. $.
Выход вижу либо в chroot'е на кождого юзера, что очень накладно с точки зрения затрат ресурсов, либо в установке гибкой системы ACL для прикрытия доступа ко всему, кроме необходимых библиотек, Perl'а и домашней директории. Еще вариант запатчить suexec на предмет подставления ulimit -u 1, запрещающего скрипту выполнять другие программы, но это вносит существенные ограничения и не спасает от шпионов смотрящих чужие файлы.Кстати, можешь взглянуть на cgi-wrapper, он много интересного умеет, но мне не нравится :-(
>Без перенесения qmail
>в тоже дерево, где и
>апачь стоять будет.Chroot не всегда оправдан, важен грамотный подход ко всей системе защиты.
>Не думаю, что есть смысл заталкивать
>qmail под chrootНу вообще я не это имел виду. Проблема вот в чем:
Стоит апач под chroot, вместе с ним работает php, я пытаюсь отправить почту из формы созданной апачем в браузере при помощи функции php - mail().
А он не отправляет. Даже ошибку не дает ни какую.
QMail кстати запущен не в том корне, что apache. Так вот как организовать такое дело?