Linux за българи: Форуми

Не съм съвсем сигурен дали поста е за тук - така, че ако не е се извинявам предварително. Проблема ми е следният - къде и как се задава пътя до binary файла на Apache2. Ясно ми, е че под убунту по подразбиране, е /usr/sbin/apache2 но мен по скоро ме интересува ако искам да изместя binary файла как мога да го направя. Освен това сред конфигуративните файлове има 2 envvars и magic които не са include-нати никъде в другите файлове, но все пак променливи от тях се export-ват по някакъв начин. Как мога чрез bash скрипт да намеря локацията на тези файлове в системата. Ще съм благодарен ако някой помогне!

Не съм съвсем сигурен дали поста е за тук - така, че ако не е се извинявам предварително. Проблема ми е следният - къде и как се задава пътя до binary файла на Apache2. Ясно ми, е че под убунту по подразбиране, е /usr/sbin/apache2 но мен по скоро ме интересува ако искам да изместя binary файла как мога да го направя. Освен това сред конфигуративните файлове има 2 envvars и magic които не са include-нати никъде в другите файлове, но все пак променливи от тях се export-ват по някакъв начин. Как мога чрез bash скрипт да намеря локацията на тези файлове в системата. Ще съм благодарен ако някой помогне!

А какъв е смисъла да се мести апаша, това не мисля че е добра идея. И при първия ъпдейт изпълнимия файл ще се появи пак на старото място
А намирането на файловете:

Проблемът е в това, че реших да си направя chroot jail за Apache. Попрочетох по въпроса, но с времето все повече се избистри идеята да си направя bash script който да може да ми автоматизира процеса. Точно за да може след update да не правя всичко на ръка отново и за да може при ново инсталиране на системата всичко да става много по-бързо. Та накратко пъзела взе да се прояснява обаче не ми е ясно още как да намирам автоматично посочените файлове. както и apache2ctl той също някак ми обягва. Значи логиката ми е следната до тук. Ако има инсталиран apache2 и е активен то се работи в 2 направления. 1. От активните процеси се взима Apache2 и се проследява пътя до binary файла. Копира се в jail-a. От там се проверява за това кои .so файлове се ползват. И всички библиотеки от които има нужда се копират в jail-a. Всяка от тях се проверява дали не ползва библиотека която не е копирана и ако е така се откопират и липсващите като се проверяват и те (рекурсивно обхождане). 2. Взима се пътя да PID файла и файла се копира в jail-a. Взима се пътя до главният конфигуративен файл и се откопира, като след това рекурсивно се обхожда за include-и и ако има се търси и откопира в дълбочина ако файла вече е откопиран не се проверява пак. едновременно с това се търси за loadmodule и ако има се откопират и модулите в jail-a. Проблема, е че посочените 3 файла някак седят от страна - възможно е от apache2ctl да се намери envvars, но не ми изглежда много надеждно. Помогнете малко! :)

Аааа забравих да кажа - да ясно, е че с find може да се намери. Ясно е и къде се намира файла. За мен по-скоро е важен принципа защото в следващата версия може и да не се казва вече така, но ако е ясно къде се посочва как да бъде намерен това си остава и скрипта ще си работи.

Проблемът е в това, че реших да си направя chroot jail за Apache...

Сега ще те питаме, а защо си решил да го правиш? И ще ти препоръчаме да си направиш виртуална машина вместо jail.

:) Това почва да ми прилича на една друга подобна моя тема. До сега не съм подкарвал виртуална машина на нищо. Освен това виртуалната машина също не е всемогъща и не виждам защо да не вкарам apache-то в jail дори и ако е на виртуална машина.

А защо не използваш mod_security ?
Там можеш да му зададеш jail настройка.

http://www.modsecurity.org/documentation/apache-internal-chroot.html

@DarkLordTed Мислиш, че по-трудно се пробива chroot jaila отколкото да достигнеш от гост система до хоста така ли?
п.с. Може да разгледаш и този вариант http://wiki.openvz.org/Main_Page ($2) грубо казано е някъде по средата м/у двата варианта които обмисляш ...

Не сравнявам chroot jail и VM по степен на защитеност. Единственото което казах, е че НЕ е невъзможно да се преодолее виртуализацията както НЕ е невъзможно да се излезе от jail, затова не виждам защо едното трябва да изключва другото. Аз искам максимално защитен сървър с минимум загуба на ресурси. Искам машината да може в един момент да се пусне в интернет и да не и се трепери непрекъснато. Колкото се може по-трудно да бъде да се пробие и да се направи нещо злонамерено на нея. Отворен само един порт 80 на който слуша Apache-то, chroot jail, изграден в виртуална машина. Крон проверяващ за промени. И надявам се спокойствие.

Защо вместо да си играеш да откриваш колелото не ползваш selinux? Както и да го гледам не виждам никаква полза от chroot, а само проблеми.

Малко извън темата, но ще ми е интересно да прочета как процес работещ в госта може да прави промени по хост на виртуалната машина. До сега си мислех че това не е възможно.

Като за начало защото съм начинаещ в Линукса - иначе го обмислям много сериозно.

А сега малко извън темата - не съм ползвал много, много Линукс, но се занимавам с компютри от известно време. Преди време се занимавах доста с асемблер и по специално с вируси - та в един сайт VX Heavens - преди време бях срещал описания за атака на VM вчера потърсих статията, но не я намерих. Абсолютно съм сигурен, че я имаше някъде там . . . но Статията касаеше възможни сценарии за измъкването на вирус извън WMWare продукти. Но не виждам защо да не е възможно това да стане и с други VM може би по друг начин.