tình hình là em đang chroot apache. đang phân vân giữa 2 hướng dùng mod_chroot và chroouid. chưa biết nên dùng cách nào. đọc sơ qua 2 cách thì thấy mod_chroot có vẻ ít công đoạn nhất, ko cần phải chép các tập tin lib. còn chrootuid thì phải copy hết qua. nhưng em thì đã có kinh nghiệm làm chrootuid ở bên mysql rồi. nên h đang phân vân là chọn cái nào. có ai có kn tư vấn giúp em với 

khang0001 wrote:

tình hình là em đang chroot apache. đang phân vân giữa 2 hướng dùng mod_chroot và chroouid. chưa biết nên dùng cách nào. đọc sơ qua 2 cách thì thấy mod_chroot có vẻ ít công đoạn nhất, ko cần phải chép các tập tin lib. còn chrootuid thì phải copy hết qua. nhưng em thì đã có kinh nghiệm làm chrootuid ở bên mysql rồi. nên h đang phân vân là chọn cái nào. có ai có kn tư vấn giúp em với 

Rốt cuộc mục đích chroot là để làm gì? 

conmale wrote:

khang0001 wrote:

tình hình là em đang chroot apache. đang phân vân giữa 2 hướng dùng mod_chroot và chroouid. chưa biết nên dùng cách nào. đọc sơ qua 2 cách thì thấy mod_chroot có vẻ ít công đoạn nhất, ko cần phải chép các tập tin lib. còn chrootuid thì phải copy hết qua. nhưng em thì đã có kinh nghiệm làm chrootuid ở bên mysql rồi. nên h đang phân vân là chọn cái nào. có ai có kn tư vấn giúp em với 

Rốt cuộc mục đích chroot là để làm gì? 

để nhốt thằng apache vào 1 cái nhà tù , cho an toàn. với cách chroouid thì phải copy rất nhiều thư viện và thêm 2 cái /bin/bash, /bin/sh. vào thì mới chạy được . nên em nghĩ là không được an toàn. còn thằng mod_chroot thì đơn giản cài vào và chỉnh cấu hình lại là được. nhưng nó củng là 1 mod. nên ko biết là thế nào. anh comanle có thể tư vấn giúp em được không 

Và "nhốt" nó để làm chi? Nếu vì an toàn thì mục tiêu quan trọng là an toàn hay là gì? 

conmale wrote:

Và "nhốt" nó để làm chi? Nếu vì an toàn thì mục tiêu quan trọng là an toàn hay là gì? 

nhốt nó lại để giả sử có ai đó hack dc thằng apache thì chỉ có thể tác động dc 1 mình thằng apache thôi, ko thể ảnh hưởng đến các thành phần khác trong hệ thống được. mục tiêu an toàn hàng đầu là bảo vệ database. 

Vậy thì anh hỏi em, một php script chạy trên apache bị chroot làm sao nó truy vấn tới CSDL nếu như em muốn jail apache để bảo vệ CSDL? 

conmale wrote:

Vậy thì anh hỏi em, một php script chạy trên apache bị chroot làm sao nó truy vấn tới CSDL nếu như em muốn jail apache để bảo vệ CSDL? 

theo 1 số tài liệu em đọc thì khi chroot apache và mysql thì, vẫn có cách để kết nối 2 ct đó lại với nhau. để chúng chạy. nhưng vẫn đảm bảo là mỗi ct nằm ở 1 nhà tù 

khang0001 wrote:

conmale wrote:

Vậy thì anh hỏi em, một php script chạy trên apache bị chroot làm sao nó truy vấn tới CSDL nếu như em muốn jail apache để bảo vệ CSDL? 

theo 1 số tài liệu em đọc thì khi chroot apache và mysql thì, vẫn có cách để kết nối 2 ct đó lại với nhau. để chúng chạy. nhưng vẫn đảm bảo là mỗi ct nằm ở 1 nhà tù 

OK, vậy thì:

"Tù apache" ---> "Tù mysql" vẫn có nghĩa là một cái php script từ apache vẫn có thể truy vấn đến cái "tù mysql" phải không nào? Nếu vậy thì làm sao bảo vệ được cái "tù mysql" không bị thâm nhập dữ liệu? Tạo ra cái "tù" để bảo vệ mà vẫn truy vấn đến được cái "tù" thì bảo vệ cái gì? 

conmale wrote:

khang0001 wrote:

conmale wrote:

Vậy thì anh hỏi em, một php script chạy trên apache bị chroot làm sao nó truy vấn tới CSDL nếu như em muốn jail apache để bảo vệ CSDL? 

theo 1 số tài liệu em đọc thì khi chroot apache và mysql thì, vẫn có cách để kết nối 2 ct đó lại với nhau. để chúng chạy. nhưng vẫn đảm bảo là mỗi ct nằm ở 1 nhà tù 

OK, vậy thì:

"Tù apache" ---> "Tù mysql" vẫn có nghĩa là một cái php script từ apache vẫn có thể truy vấn đến cái "tù mysql" phải không nào? Nếu vậy thì làm sao bảo vệ được cái "tù mysql" không bị thâm nhập dữ liệu? Tạo ra cái "tù" để bảo vệ mà vẫn truy vấn đến được cái "tù" thì bảo vệ cái gì? 

chà chà, hình như em hơi bị sai thì phải, chroot là để bảo vệ nguyên cái hệ thống. khi nào hacker chiếm được quyền apache hoặc mysql thì chỉ có thể lanh quanh trong đó, ko thể nào tấn công sâu hơn được, ko thể get root được. hizhiz. nên từ nhà tù apache có thể liên thông đến nhà tù mysql được. đúng không anh comanle ?? 

Điều quan trọng không phải là "làm cái gì" mà quan trọng là phải hiểu "cần cái gì", "phục vụ cho mục đích gì" trước khi "làm cái gì".

PS: conmale chớ không phải comnanle. Chỉ có cái nick có mấy chữ mà cũng gõ sai lên sai xuống bao nhiêu lần. 

conmale wrote:

Điều quan trọng không phải là "làm cái gì" mà quan trọng là phải hiểu "cần cái gì", "phục vụ cho mục đích gì" trước khi "làm cái gì".

PS: conmale chớ không phải comnanle. Chỉ có cái nick có mấy chữ mà cũng gõ sai lên sai xuống bao nhiêu lần. 

cảm ơn anh conmale đã giúp em khai sáng vấn đề. hizhiz. xin lỗi anh conmale em hổng có cố ý viết sai tên anh đâu ạ.  

Đây là lối mòn tư duy không hiếm người vấp phải. Cứ thấy loáng thoáng cái gì có vẻ hay là cắm cúi làm nhưng không chịu khó nhìn toàn cảnh và hiểu rõ tính chất sự việc.

chroot không phải là vô ích, trái lại nó rất có ích cho công việc bảo mật nhưng mình phải hiểu rõ giới hạn của chroot nằm ở đâu và thật sự nó có phục vụ mục tiêu bảo mật của mình hay không? Trong trường hợp của em, em tạo 1 jail apache và 1 jail mysql nhưng em vẫn cho jail apache truy vấn jail mysql và nếu anh thảy 1 cái php script lên trong jail apache của em thì anh vẫn có thể truy vấn đến jail mysql ---> mục tiêu bảo vệ dữ liệu của mysql bị vỡ.

Bảo mật không phải chỉ cục bộ trong một vài điểm nào đó mà phải là cái nhìn toàn cảnh. Nó có thể xoáy sâu đến từng byte trong việc thực hiện MiTM và nó cũng có thể là một thiết kế trải dài từ mạng đến thiết bị, đến tất cả mọi khía cạnh của trọn bộ hệ thống nhiều mảnh, nhiều tầng. Em có jail hết tất cả các dịch vụ trên máy chủ của em nhưng em lỡ chọn root password là khang123 thì những cái chroot kia không còn giá trị gì nữa. 

conmale wrote:

Đây là lối mòn tư duy không hiếm người vấp phải. Cứ thấy loáng thoáng cái gì có vẻ hay là cắm cúi làm nhưng không chịu khó nhìn toàn cảnh và hiểu rõ tính chất sự việc.

chroot không phải là vô ích, trái lại nó rất có ích cho công việc bảo mật nhưng mình phải hiểu rõ giới hạn của chroot nằm ở đâu và thật sự nó có phục vụ mục tiêu bảo mật của mình hay không? Trong trường hợp của em, em tạo 1 jail apache và 1 jail mysql nhưng em vẫn cho jail apache truy vấn jail mysql và nếu anh thảy 1 cái php script lên trong jail apache của em thì anh vẫn có thể truy vấn đến jail mysql ---> mục tiêu bảo vệ dữ liệu của mysql bị vỡ.

Bảo mật không phải chỉ cục bộ trong một vài điểm nào đó mà phải là cái nhìn toàn cảnh. Nó có thể xoáy sâu đến từng byte trong việc thực hiện MiTM và nó cũng có thể là một thiết kế trải dài từ mạng đến thiết bị, đến tất cả mọi khía cạnh của trọn bộ hệ thống nhiều mảnh, nhiều tầng. Em có jail hết tất cả các dịch vụ trên máy chủ của em nhưng em lỡ chọn root password là khang123 thì những cái chroot kia không còn giá trị gì nữa. 

em hiểu ý của anh là phải kiện toàn tất cả các phần của server. chỉ cần lơ là 1 phần thì coi như các phần khác có làm tốt thế nào đi nữa thì củng xem như thua.
- nếu theo như anh phân tích thì em thấy có vẻ như em không cần phải chroot. vì server của em chỉ là webserver . chỉ có 1 công việc duy nhất là chạy web thôi. nếu mà hacker chiếm được quyền apache hay mysql thì coi như server em đã mất . hacker không cần phải get root làm gì. vì :
+ mục tiêu của hacker là thay đổi nội dung website và database của em. đã đạt được
+ mục tiêu bảo vệ database của em tháy bại.
vậy em không cần phải chroot apache, mysql phải ko anh. hizhiz.  

Hì hì, thấy chưa? Rốt cuộc em muốn bảo vệ trang web không bị deface mà lại chăm chăm việc chroot cho apache và mysql .

Muốn trang web của em không bị deface thì em cần kiện toàn bảo mật cho chính apache và bất cứ chương trình nào chạy trên apache. Sau đó em kiện toàn cơ chế truy vấn từ apache đến mysql và tất nhiên, em không thể chểnh mảng chuyện kiện toàn bảo mật cho chính server chạy apache và msysql. chroot không thể giúp ngăn chặn deface bởi vì cho dù apache có nằm trong 100 cái chroot nhưng ai đó vẫn có thể access dịch vụ do apache cung cấp (qua trình duyệt hay bất cứ phương tiện nào) thì cơ hội nó bị deface vẫn xảy ra. 

em hiểu ý của anh là phải kiện toàn tất cả các phần của server. chỉ cần lơ là 1 phần thì coi như các phần khác có làm tốt thế nào đi nữa thì củng xem như thua.