i pres vsechny ty reci o nizke bezpecnosti chrootu, pouzivam na svy malych serverech pro apache modul mod_chroot (http://core.segfault.pl/~hobbit/mod_chroot/), a musim rici, ze dle logu mi resi vetsinu dnesnich automatizovanych utoku na webserver. v error logach se mi to projevuje napriklad nasledne:
sh: line 1: perl: command not found
sh: line 1: id: command not found
sh: line 1: uname: command not found
sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
sh: line 1: id: command not found
sh: line 1: ls: command not found
sh: line 1: uname: command not found
sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
sh: line 1: id: command not found
sh: line 1: which: command not found
sh: line 1: cannot redirect standard input from /dev/null: No such file or directory
sh: line 1: perl: command not found
sh: line 1: uname: command not found
sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
sh: line 1: id: command not found
sh: line 1: which: command not found
i kdyz se mi tam holt nekdo bude chtit dostat, tak se mi tam rozhodne dostane, ale aspon mu muzu jeho prunik trosku stizit, ze?
jo je to pravdepodobne, protoze na tech serverech je hostovani vetsi mnozstvi php aplikaci, ktery byly psany ruznymi autory na ruznych urovnich znalosti, coz ja neovlivnim. chtel jsem jen poukazat na to, ze kdybych nemel apache v chrootu, tak sem asi o trosku vice v haji zelenym....
Nebylo by lepší použít setuid CGI skripty? Takhle sice útočník nemůže nic udělat s ostatními aplikacemi, ale může zkusit haluzit se soubory ostatních hostovaných.
