<\/p>\n
Il y a quelques temps il me devenait n\u00e9cessaire de s\u00e9curiser un serveur Apache2 sous environnement Debian\/Ubuntu Server de mani\u00e8re assez restrictive. Celui-ci dispose bien \u00e9videmment de MySQL5, PHP5 et de diverses autres biblioth\u00e8ques.<\/p>\n
L’objectif \u00e9tait de d\u00e9ployer un mini-service d’h\u00e9bergement compos\u00e9 de plusieurs sites, tous aussi diff\u00e9rents les uns que les autres. Certains de ces sites devraient avoir la possibilit\u00e9s d’ex\u00e9cuter des commandes sp\u00e9ciales sur le serveur, d’acc\u00e9der \u00e0 des binaires bien d\u00e9finis, et d’effectuer des requ\u00eates au travers de l’Internet sp\u00e9cifiques.<\/p>\n
Apr\u00e8s une multitude de tests divers et vari\u00e9s sur comment cloisonner ses serveurs Apache2\/MySQL5 via un chroot, je finissais toujours par bloquer face \u00e0 une ressource ou une biblioth\u00e8que en dehors du chroot pour les fonctionnalit\u00e9s du site… Je passais mon temps \u00e0 int\u00e9grer dans le chroot des fichiers\/liens pour que mes services acc\u00e8dent aux ressources n\u00e9cessaires…<\/p>\n
Que cette t\u00e2che f\u00fbt\u00a0fastidieuse, et \u00e0 vrai dire la solution finale ne me convenait pas en termes d’\u00e9volution. En discutant avec un ami, Jill, que je remercie pour son temps consacr\u00e9, nous avons opt\u00e9 pour une solution bien plus\u00a0drastique, plus simple, plus lourde\u00a0et selon moi mieux adapt\u00e9e \u00e0 mes besoins en termes de d\u00e9pendances externes au chroot.<\/p>\n
L’id\u00e9e est de d\u00e9ployer une autre distribution compl\u00e8te (Debian squeeze en\u00a0l\u2019occurrence), de mani\u00e8re inerte, au sein du serveur actuel. Cette distribution compl\u00e8te se verrait installer tous les services\/outils\/d\u00e9mons\/biblioth\u00e8ques n\u00e9cessaires, et chaque processus serait chroot\u00e9 dans cette distribution. Bien plus simple \u00e0 la gestion ! Mais en contrepartie plus lourde sur le syst\u00e8me h\u00f4te. Cette m\u00e9thode peut \u00eatre\u00a0apparent\u00e9e\u00a0au d\u00e9ploiement d’une nouvelle distribution au sein d’un syst\u00e8me sain (telle de la virtualisation), sans que cette distribution soit directement active (elle reste inerte dans son chroot).<\/p>\n
Comment faire cela? La solution : debootstrap<\/strong>. Ce paquet permet de r\u00e9cup\u00e9rer une distribution Debian sur les serveurs officiels et en fait une r\u00e9plique locale.<\/p>\n [bash]&lt;\/p&gt;<br \/> A la suite de ces commandes, l’environnement Debian Squeeze qui accueillera le chroot est fin pr\u00eat. Si votre souhait est de scinder plusieurs serveurs applicatifs dans des prisons diff\u00e9rentes, il sera possible ais\u00e9ment de le faire dans “\/chroot\/ftp\/” pour un serveur FTP par exemple. La derni\u00e8re commande “debootstrap” r\u00e9cup\u00e8re une distribution Debian compl\u00e8te et la d\u00e9ploie dans “\/chroot\/web\/”. Cette \u00e9tape peut \u00eatre un peu longue en fonction de votre connexion.<\/p>\n Une fois le debootstrap d’achev\u00e9, il suffit de se chrooter sur cette nouvelle distribution :<\/p>\n [bash]&lt;\/p&gt;<br \/> Une fois chroot\u00e9 dans la nouvelle distribution, on met \u00e0 jour sa liste de paquets et on installe les paquets n\u00e9cessaires \u00e0 notre service Web (ou un quelconque autre). Apr\u00e8s l’installation, si l’on d\u00e9marre Apache, un avertissement concernant le “FQDN” nous est indiqu\u00e9 :<\/p>\n [bash]&lt;\/p&gt;<br \/> Pour d\u00e9sactiver ce message, il suffit de renseigner la directive “ServerName localhost” dans le fichier de configuration d’Apache :<\/p>\n [bash]&lt;\/p&gt;<br \/> Idem, il se peut qu’il y ait r\u00e9guli\u00e8rement des messages d’avertissement li\u00e9s aux “locales” de la Debian chroot\u00e9e :<\/p>\n [bash]&lt;\/p&gt;<br \/> En effet, il est n\u00e9cessaire de g\u00e9n\u00e9rer les locales fran\u00e7ais :<\/p>\n [bash]&lt;\/p&gt;<br \/> Il ne reste plus qu’\u00e0 automatiser le lancement des serveurs \u00e0 partir de la distribution h\u00f4te. Pour cela, quitter le chroot (Ctrl+D) pour revenir au prompt de la distribution principale, et cr\u00e9er le fichier \/etc\/init.d\/apache2Chrooted :<\/p>\n [bash]&lt;\/p&gt;<br \/> Les services Apache2 et MySQL5 sont \u00e0 pr\u00e9sents cloisonn\u00e9s dans un chroot compos\u00e9 d’une distribution debian compl\u00e8te, id\u00e9al pour les d\u00e9pendances. Les services se lancent au d\u00e9marrage du serveur au travers du chroot d’eux m\u00eame.<\/p>\n Il est conseill\u00e9 de modifier vos prompts aussi bien dans la machine h\u00f4te que dans la machine chroot\u00e9e, pour \u00e9viter de se perdre dans l’emplacement des commandes (coloration des prompt \u00e0 r\u00e9gler dans \/etc\/bash.bashrc pour chaque machine).<\/p>\n Cette technique ne dispense pas par la suite de modifier la configuration de l’Apache\/MySQL dans le chroot, pour supprimer les fingerprint, renforcer la s\u00e9curit\u00e9, installer des modules comme mod_security, suphp, etc.<\/p>\n Edit du 20\/12\/2012 :<\/strong><\/p>\n Dans le cas d’un d\u00e9ploiement debootstrap au sein d’une distribution prot\u00e9g\u00e9e par GRSecurity au niveau du noyau, le debootstrap ne pourra s’effectuer correctement. En effet, lorsque la distribution est install\u00e9e via le debootstrap, des montages de partition (\/proc notamment) de mani\u00e8re chroot\u00e9e sont r\u00e9alis\u00e9s automatiquement. GRSecurity dispose d’une protection pour l’ex\u00e9cution de commande “mount” ou encore “chmod” au sein d’un chroot, ce qui emp\u00eache le debootstrap de se finaliser :<\/p>\n [bash][…]&lt;br \/&gt;<br \/> Pour forcer le d\u00e9ploiement du debootstrap malgr\u00e9 la protection de GRSecurity, il est n\u00e9cessaire d’autoriser explicitement la commande “mount” et “chmod” dans un “chroot”. Pour cela, ex\u00e9cuter les commandes suivantes avant le debootstrap :<\/p>\n [bash]&lt;\/p&gt;<br \/> A noter que sur des serveurs d\u00e9di\u00e9s “Kimsufi” avec une distribution install\u00e9e sur le HDD local (type Ubuntu Server 12.10 64bits), GRSecurity est d\u00e9ploy\u00e9 au travers de la partition de boot, et n’est donc pas configurable de la sorte…<\/p>\n<\/p>\n <\/p>","protected":false},"excerpt":{"rendered":" Il y a quelques temps il me devenait n\u00e9cessaire de s\u00e9curiser un serveur Apache2 sous environnement Debian\/Ubuntu Server de mani\u00e8re […]<\/p>\n","protected":false},"author":1337,"featured_media":1215,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[59,124,165],"tags":[172,171,180,169,168,177,178,173,174,181,179,176,175,170],"class_list":["post-401","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administration-reseaux-et-systemes","category-invisibilite-et-camouflage","category-os","tag-apache2","tag-chroot","tag-cloisonnement","tag-debain","tag-debootstrap","tag-dependances","tag-locales","tag-mysql5","tag-php5","tag-prison","tag-protection","tag-securisation-apache","tag-service-hebergement","tag-squeeze"],"_links":{"self":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/401","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/users\/1337"}],"replies":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/comments?post=401"}],"version-history":[{"count":13,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/401\/revisions"}],"predecessor-version":[{"id":1636,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/401\/revisions\/1636"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media\/1215"}],"wp:attachment":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media?parent=401"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/categories?post=401"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/tags?post=401"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n&lt;p&gt;root@ubuntu:\/home\/x# apt-get update &amp;amp;&amp;amp; apt-get upgrade&lt;\/p&gt;<br \/>
\n&lt;p&gt;root@ubuntu:\/home\/x# apt-get install debootstrap&lt;\/p&gt;<br \/>
\n&lt;p&gt;root@ubuntu:\/home\/x# mkdir -p \/chroot\/web\/&lt;\/p&gt;<br \/>
\n&lt;p&gt;root@ubuntu:\/home\/x# debootstrap squeeze \/chroot\/web\/ http:\/\/ftp.debian.org\/debian&lt;\/p&gt;<br \/>
\n&lt;p&gt;[…]&lt;\/p&gt;<br \/>
\n&lt;p&gt;I: Base system installed successfully.&lt;\/p&gt;<br \/>
\n&lt;p&gt;[\/bash]<\/p>\n
\n&lt;p&gt;root@ubuntu:\/home\/x# chroot \/chroot\/web\/&lt;\/p&gt;<br \/>
\n&lt;p&gt;root@ubuntu:\/# apt-get update &amp;amp;&amp;amp; apt-get upgrade&lt;\/p&gt;<br \/>
\n&lt;p&gt;root@ubuntu:\/# apt-get install apache2 mysql-server php5 phpmyadmin&lt;\/p&gt;<br \/>
\n&lt;p&gt;[\/bash]<\/p>\n
\n&lt;p&gt;root@ubuntu:\/# \/etc\/init.d\/apache2 start&lt;br \/&gt;<br \/>
\nStarting web server: apache2apache2: Could not reliably determine the server’s fully qualified domain name, using 192.168.0.137 for ServerName&lt;br \/&gt;<br \/>
\n.&lt;\/p&gt;<br \/>
\n&lt;p&gt;[\/bash]<\/p>\n
\n&lt;p&gt;root@ubuntu:\/# nano \/etc\/apache2\/apache2.conf&lt;br \/&gt;<br \/>
\nroot@ubuntu:\/# \/etc\/init.d\/apache2 stop&lt;br \/&gt;<br \/>
\nStopping web server: apache2.&lt;br \/&gt;<br \/>
\nroot@ubuntu:\/# \/etc\/init.d\/apache2 start&lt;br \/&gt;<br \/>
\nStarting web server: apache2.&lt;\/p&gt;<br \/>
\n&lt;p&gt;[\/bash]<\/p>\n
\n&lt;p&gt;Processing triggers for man-db …&lt;br \/&gt;<br \/>
\nlocale: Cannot set LC_CTYPE to default locale: No such file or directory&lt;br \/&gt;<br \/>
\nlocale: Cannot set LC_MESSAGES to default locale: No such file or directory&lt;br \/&gt;<br \/>
\nlocale: Cannot set LC_ALL to default locale: No such file or directory&lt;\/p&gt;<br \/>
\n&lt;p&gt;[\/bash]<\/p>\n
\n&lt;p&gt;root@ubuntu:\/# apt-get install locales&lt;\/p&gt;<br \/>
\n&lt;p&gt;root@ubuntu:\/# nano \/etc\/locale.gen&lt;\/p&gt;<br \/>
\n&lt;p&gt;# D\u00e9comenter les &amp;quot;fr_FR*&amp;quot; et &amp;quot;en_US*&amp;quot;&lt;br \/&gt;<br \/>
\nroot@ubuntu:\/# locale-gen&lt;br \/&gt;<br \/>
\nGenerating locales (this might take a while)…&lt;br \/&gt;<br \/>
\n en_US.ISO-8859-1… done&lt;br \/&gt;<br \/>
\n en_US.ISO-8859-15… done&lt;br \/&gt;<br \/>
\n en_US.UTF-8… done&lt;br \/&gt;<br \/>
\n fr_FR.ISO-8859-1… done&lt;br \/&gt;<br \/>
\n fr_FR.UTF-8… done&lt;br \/&gt;<br \/>
\nGeneration complete.&lt;\/p&gt;<br \/>
\n&lt;p&gt;[\/bash]<\/p>\n
\n&lt;p&gt;root@ubuntu:\/home\/x# nano \/etc\/init.d\/apache2Chrooted&lt;br \/&gt;<br \/>
\nroot@ubuntu:\/home\/x# cat \/etc\/init.d\/apache2Chrooted&lt;br \/&gt;<br \/>
\n#!\/bin\/bash&lt;br \/&gt;<br \/>
\nchroot \/chroot\/web\/ \/etc\/init.d\/apache2 $1&lt;\/p&gt;<br \/>
\n&lt;p&gt;root@ubuntu:\/home\/x# nano \/etc\/init.d\/mysqldChrooted&lt;br \/&gt;<br \/>
\nroot@ubuntu:\/home\/x# cat \/etc\/init.d\/mysqldChrooted&lt;br \/&gt;<br \/>
\n#!\/bin\/bash&lt;br \/&gt;<br \/>
\nchroot \/chroot\/web\/ \/etc\/init.d\/mysql $1&lt;\/p&gt;<br \/>
\n&lt;p&gt;root@ubuntu:\/home\/x# chmod +x \/etc\/init.d\/apache2Chrooted&lt;\/p&gt;<br \/>
\n&lt;p&gt;root@ubuntu:\/home\/x# chmod +x \/etc\/init.d\/mysqldChrooted&lt;br \/&gt;<br \/>
\nroot@ubuntu:\/home\/x# update-rc.d apache2Chrooted defaults&lt;br \/&gt;<br \/>
\nupdate-rc.d: warning: \/etc\/init.d\/apache2Chrooted missing LSB information&lt;br \/&gt;<br \/>
\nupdate-rc.d: see &amp;lt;http:\/\/wiki.debian.org\/LSBInitScripts&amp;gt;&lt;br \/&gt;<br \/>
\n Adding system startup for \/etc\/init.d\/apache2Chrooted …&lt;br \/&gt;<br \/>
\n \/etc\/rc0.d\/K20apache2Chrooted -&amp;gt; ..\/init.d\/apache2Chrooted&lt;br \/&gt;<br \/>
\n \/etc\/rc1.d\/K20apache2Chrooted -&amp;gt; ..\/init.d\/apache2Chrooted&lt;br \/&gt;<br \/>
\n \/etc\/rc6.d\/K20apache2Chrooted -&amp;gt; ..\/init.d\/apache2Chrooted&lt;br \/&gt;<br \/>
\n \/etc\/rc2.d\/S20apache2Chrooted -&amp;gt; ..\/init.d\/apache2Chrooted&lt;br \/&gt;<br \/>
\n \/etc\/rc3.d\/S20apache2Chrooted -&amp;gt; ..\/init.d\/apache2Chrooted&lt;br \/&gt;<br \/>
\n \/etc\/rc4.d\/S20apache2Chrooted -&amp;gt; ..\/init.d\/apache2Chrooted&lt;br \/&gt;<br \/>
\n \/etc\/rc5.d\/S20apache2Chrooted -&amp;gt; ..\/init.d\/apache2Chrooted&lt;\/p&gt;<br \/>
\n&lt;p&gt;root@ubuntu:\/home\/x# update-rc.d mysqldChrooted defaults&lt;br \/&gt;<br \/>
\nupdate-rc.d: warning: \/etc\/init.d\/mysqldChrooted missing LSB information&lt;br \/&gt;<br \/>
\nupdate-rc.d: see &amp;lt;http:\/\/wiki.debian.org\/LSBInitScripts&amp;gt;&lt;br \/&gt;<br \/>
\n Adding system startup for \/etc\/init.d\/mysqldChrooted …&lt;br \/&gt;<br \/>
\n \/etc\/rc0.d\/K20mysqldChrooted -&amp;gt; ..\/init.d\/mysqldChrooted&lt;br \/&gt;<br \/>
\n \/etc\/rc1.d\/K20mysqldChrooted -&amp;gt; ..\/init.d\/mysqldChrooted&lt;br \/&gt;<br \/>
\n \/etc\/rc6.d\/K20mysqldChrooted -&amp;gt; ..\/init.d\/mysqldChrooted&lt;br \/&gt;<br \/>
\n \/etc\/rc2.d\/S20mysqldChrooted -&amp;gt; ..\/init.d\/mysqldChrooted&lt;br \/&gt;<br \/>
\n \/etc\/rc3.d\/S20mysqldChrooted -&amp;gt; ..\/init.d\/mysqldChrooted&lt;br \/&gt;<br \/>
\n \/etc\/rc4.d\/S20mysqldChrooted -&amp;gt; ..\/init.d\/mysqldChrooted&lt;br \/&gt;<br \/>
\n \/etc\/rc5.d\/S20mysqldChrooted -&amp;gt; ..\/init.d\/mysqldChrooted&lt;\/p&gt;<br \/>
\n&lt;p&gt;[\/bash]<\/p>\n
\nI: Extracting util-linux…&lt;br \/&gt;<br \/>
\nI: Extracting zlib1g…&lt;br \/&gt;<br \/>
\nW: Failure trying to run: chroot \/prison\/cage mount -t proc proc \/proc[\/bash]<\/p>\n
\n&lt;p&gt;echo 0 &amp;gt; \/proc\/sys\/kernel\/grsecurity\/chroot_deny_mount&lt;\/p&gt;<br \/>
\n&lt;p&gt;echo 0 &amp;gt; \/proc\/sys\/kernel\/grsecurity\/chroot_deny_chmod&lt;\/p&gt;<br \/>
\n&lt;p&gt;[\/bash]<\/p>\n