[FUGSPBR] Apache CHROOTed + qmailadmin

Patrick Tracanelli eksffa em FreeBSDBrasil.com.br
Sex Dez 5 11:49:08 BRST 2003


Olá Renato

Chrootar o Apache não é meio paranóico? (alo, Theo de Raadt) Bom, mas é o
seguinte, você tem duas opções, a primeira delas desconfortável e
trabalhosa, e também uma gambiarra. Mas é funcional e você já deve ter
pensado nisso.

Instale seu VPOPmail sob a árvore do apache chrootado, por exemplo

/chroot/apache/usr/local/vpopmail

ou /chroot/home/vpopmail

O que você considerar mais conveniente. Se estiver utilizando o Ports
utilize, modifique a variavel PREFIX (de ambiente). Ou realize a instalação
já chrootando o processo todo. Lógico que vai funcionar ja que o Apache vai
ver o /chroot/apache como o "/" pra ele (coloque no PATH). Os usuários do
qmail/vpopmail vao ter q existir também no seu ambiente chrootado, afinal as
aplicacoes (como qmailadmin) tem q conseguir saber onde fica o ~vpopmail.
Essa opção (chrootar o vpopmail na mesma raiz do apache) pode requerer que
você repense todo seu projeto de servidor.

Outra opção é utilizar a montagem de low layer uppler layer entre os
diretórios. Dessa forma você consegue montar o diretório X no ponto de
montagem Y e o sistema apresenta-o colo se realmente estivesse montado e
determinado ponto, e não um mero link simbolico. Assim o seu
/chroot/apache/home/vpopmail pode ser um ponto de montagem para
/home/vpopmail e não apenas um link simbolico.

Você pode fazer este "loop" de pontos de montagem com mount -t unionfs ou
mont -t nullfs. Leia as man page do mount_nullfs(8) e mount_unionfs(8) com
cuidado, faça backup apropriado antes de começar a brincar com eles, e boa
sorte. E ultima vez que eu usei isso era FreeBSD 4.3.

Particularmente, eu acho as 2 soluções uma gambiarra, e não gosto delas, mas
são suas opções.

Se o seu /home/vpopmail for uma particao dedicada (e é ideal que seja), ai
fica mais facil, basta você

mkdir -p /chroot/apache/home/vpopmail && \
mount /dev/adXsYZ /chroot/apache/home/vpopmail

Ai não é mais gambiarra. Lembre-se que no sistema (fora do chroot) o home do
usuário vpopmail vai ter q apontar para /chroot/apache/home/vpopmail

chfn vpopmail

Outras opções não gambiarra incluem o Jail se você tiver disponibilidade de
outro IP para seu servidor.

Particularmente acho que o Apache oferece recursos o bastante para ser
seguro o suficiente em um ambiente não-CHRootado, e sua experiência como
administrador (/tmp em particao separada, noexec, nosuid, nodev), etc,
evitariam até que o fatídido Scalper fizesse alguma diferença em instalacoes
vulneraveis do Apache 1.3. Além do que você perde funcionalidades do Apache
como /~usuario

Mas enfim, apesar de desnecessário com Apache, paranóia nunca é mal-vinda.
Estas são as opções que eu poderia aconselhar inicialmente.

--------- Mensagem Original --------
De: "Renato - Jet Sites" <renato em jetsites.com.br>
Para: "fugspbr em fugspbr.org" <fugspbr em fugspbr.org>
Assunto: [FUGSPBR] Apache CHROOTed + qmailadmin
Data: 05/12/03 14:58

Olá lista,

Estou montando meu servidor em FreeBSD e travei num problema aqui.
Instalei o apache em chroot. Até aí tudo bem. Acontece que eu tenho que
usar o qmailadmin, que é uma ferramente CGI pra administração de emails
via web.
O problema é que como o apache está em ambiente chroot, o qmailadmin não
consegue sair pra buscar as informações do domínio, etc.
Tentei criar um link simbólico mas não adiantou.
A estrutura é a seguinte:

VPOPMAIL: /home/vpopmail
APACHE: /chroot/apache
QMAILADMIN: /chroot/apache/var/cgi-bin/qmailadmin
O link que eu criei foi o seguinte:
/chroot/apache/home/vpopmail -> /home/vpopmail

Alguém sabe como resolver esse problema?

Obrigado pela ajuda

--
Renato Quinhoneiro Todorov
Administração Linux / Programação
renato em jetsites.com.br
http://www.jetsites.com.br


_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico:
http://www4.fugspbr.org/lista/html/FUG-BR/

__________________________________________________
http://www.freebsdbrasil.com.br/

_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/



Mais detalhes sobre a lista de discussão freebsd