Discussion :

[lennelei]

Bonjour à tous,

Déjà, je débarque un peu dans l'utilisation un peu poussée d'apache, de chroot, de la sécurité... donc je dis peut-être des bêtises

voilà, je viens de remarquer un truc. Quand apache se lance, il lance plusieurs process, jusque là j'arrive à suivre :p
Mais il me semblait que, pour des raisons de sécurité, ceux-ci étaient lancés avec un user spécifique très fortement limité.

Or, en faisant un ps, je viens seulement de remarquer que le process père tourne de son côté sous l'utilisateur root:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
[root@localhost init.d]# ps -ef | grep ht
root      5780     1  2 15:51 ?        00:00:00 /usr/sbin/httpd -k start
apache    5781  5780  0 15:51 ?        00:00:00 /usr/sbin/httpd -k start
apache    5782  5780  0 15:51 ?        00:00:00 /usr/sbin/httpd -k start
apache    5783  5780  0 15:51 ?        00:00:00 /usr/sbin/httpd -k start
apache    5784  5780  0 15:51 ?        00:00:00 /usr/sbin/httpd -k start
apache    5785  5780  0 15:51 ?        00:00:00 /usr/sbin/httpd -k start
apache    5786  5780  0 15:51 ?        00:00:00 /usr/sbin/httpd -k start
apache    5787  5780  0 15:51 ?        00:00:00 /usr/sbin/httpd -k start
apache    5788  5780  0 15:51 ?        00:00:00 /usr/sbin/httpd -k start

Ma question était juste de savoir pourquoi ?!
J'ai recherché, et je ne suis pas le seul dans ce cas, donc je pense que c'est un comportement normal, et pas une erreur de conf, mais qu'est ce qui fait que ce process père ne tourne pas sous user restreint ?

Directement ou indirectement liée à cette question, une seconde interrogation:
si je ne me trompe pas, je pourrais potentiellement lancer apache avec un autre utilisateur que root (je n'aurais donc pas root dans le ps précédent mais mon utilisateur lambda) : il faudrait pour cela que je n'écoute pas sur un port < 1024 (ce qui est mon cas actuellement).

Le "problème", c'est que j'ai mis en place un apache chrooté.

Or, il me semble que je ne peux pas faire de chroot à partir d'un utilisateur autre que root... donc j'ai l'impression, soit que je peux lancer apache non chrooté avec un utilisateur lambda, soit lancer apache chrooté mais avec l'utilisateur root... mais pas moyen de lancer un apache chrooté avec un utilisateur lambda ?

Je suppose qu'il y a moyen de tout faire, mais pour le moment, je suis un peu égaré donc je serais preneur de conseils ou d'infos génériques

ps.: je suis sous Fedora, mais ça, on s'en fiche à priori
ps².: je ne me suis pas penché sur SELinux pour la sécurité... la prochaine fois !

[cchatelain]

Si ton apache est lancé en tant que service, au démarrage, le process père est lancé par le compte root. Ensuite il est normal pour des raisons de sécurité que le compte utilisé par les sous process soit limité. Sinon un hack pourrait porter sur l'ensemble du système.

Le truc que tu peux faire c'est utiliser les paramètres user et group dans le httpd.conf pour choisir le compte qui servira pour lancer ces sous process.

[lennelei]

Si ton apache est lancé en tant que service, au démarrage, le process père est lancé par le compte root. Ensuite il est normal pour des raisons de sécurité que le compte utilisé par les sous process soit limité. Sinon un hack pourrait porter sur l'ensemble du système.

Le truc que tu peux faire c'est utiliser les paramètres user et group dans le httpd.conf pour choisir le compte qui servira pour lancer ces sous process.

Salut, et merci pour ce premier élément de réponse. Effectivement, le coup du service lancé au démarrage joue sans doute également.

Mais en l'occurrence, apache n'est pas lancé au démarrage, et je peux "techniquement" le lancer avec un autre utilisateur (ce qui a pour effet de ne pas avoir de processus père sous root, mais sous mon utilisateur).
En revanche, impossible de trouver un moyen de le lancer chrooté sous ce même utilisateur o_O

[cchatelain]

Comment lances tu apache ? Manuellement en ligne de commande ?

[lennelei]

oui je le lance à la mimine

J'utilise le script livré dans la distrib (fedora) que j'ai adapté pour ajouter le chroot. Avec le script par défaut, je peux lancer en utilisateur lamda car pas d'écoute sur port < 1024, mais je ne peux pas en chrooté...