как вариант - запустить отдельный apache

Этот вариант у меня в запасе на случай, если он (вариант) единственный :)

мне кажется эти файлы надо помещать в тот же chroot, такая же ситуация была когда помещал httpd и mysql в один chroot - иначе работать не будет, смотрел через strace/ktrace ... в любом случае шелла и интерпритаторов в chroot'e нет

Ну, не знаю, как раз Mysql в chroot пихать смысла не вижу

А касательно файлов - так это выходит, что мне все, у чего есть web-интерфейс нужно в chroot сажать? Несколько неудобно :)

Веб-интерфейс должен быть в chroot, иначе никак.
Другое дело папки веб-интерфейса не должны быть вложены в корень сервера (htdocs то бишь).

>Другое дело папки веб-интерфейса не должны быть вложены в корень сервера (htdocs то бишь).

Это как? Как же тогда оно работать-то будет?

есть htdocs, который и есть корень сайта.
и есть корень chroot - вот туда и надо класть веб-интерфейс, в апаче прописать через Alias...

И как это спасет меня от проблемы, суть которой в том, что в chroot нету того, что этот web-интерфейс настраивает?

Я имею ввиду, что у почтовиков/прокси-серверов/самбы/чего-угодно при желании есть куча доглючек, типа лог-анализеров, которые хотят веб-сервер для визуализации с менюшками-пимпочками-прочьим.

Не буду же я самбу в choot к апачу ставить :) И отказываться от удобных "пимпочек" не желаю.

И еще. Насколько вредно будет примонтировать (к примеру) /etc/samba в chroot с точки зрения безопасности?

...

да в croot можно пихать многое - главное чтобы там не было /etc/shadow, а /etc/passwd имел минимум записей и чтобы не было bash, sh, perl с библиотеками и php не желательно :) то есть если найдут дырку в службе то смогут максимум это выполнять команды на сервере неинтерактивно, а это значит можно выполнить только DoS ну или если соберут эксплоит из разных шеллкодов (например "id 0"+"iptables -F") могут ослабить защиту. Но без интерактивного шелла мало чего можно добиться.

>да в croot можно пихать многое

охотно верю, но обслуживать сервер, на котором все в chroot (гораздо) менее удобно. К примеру, устанавливать в чрут qmail не имею никакого желания, поскольку тот тип, что его ломанет, имхо, не ко мне полезет, а если полезет, то (скорее всего) взломает так или иначе :)

>чтобы не было bash, sh, perl с библиотеками и php не желательно

ага, а нафига оно тогда нужно? :) Я апач в чрут посадил в первую очередь для того, чтобы через дырявые форумы/CMS/etc поменьше вреда наделать можно было, а без хотя-бы php это добро не работает :))

>И как это спасет меня от проблемы, суть которой в том, что в chroot нету того, что этот web-интерфейс настраивает?
ну вот мы и подошли к самому главному вопросу - а какой web-face ты используешь? Если squirrelmail - то никаких проблем - код написан на пхп.

да если форум то без php не обойтись, тем более если море сайтов на одном сервере и на каждом сайте "админ" который про обновления думает только после дефейса - недавняя дырка с phpBB тому хороший пример :)

>ага, а нафига оно тогда нужно? :) Я апач в чрут посадил в первую очередь для того, чтобы через дырявые форумы/CMS/etc поменьше вреда наделать можно было, а без хотя-бы php это добро не работает :))

загонять в чрут апач зачастую бессмысленно, поскольку в этот чрут придётся загнать пол-системы. Для максимальной безопасности хост-системы можно использовать виртуальные сервера: http://www.linux-vserver.org/

>Если squirrelmail

я говорю в целом и прекрасно знаю, что на чем написано :) Но тот же squirrelmail работает через imap, а не прет на диск за mailbox, проблем с chroot нету.

>Но тот же squirrelmail работает через imap, а не прет на диск за mailbox, проблем с chroot нету. причем с любым IMAP-сервером - как с локалхост, так и с любым в инете.