Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.198 Installation eines Apache-Webservers in einem chroot-Käfig - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.198 Installation eines Apache-Webservers in einem chroot-Käfig

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Zur Erhöhung der Systemsicherheit kann der Apache-Webserver in einem sogenannten chroot-Käfig installiert werden. Dieser Schritt sollte insbesondere dann in Betracht gezogen werden, wenn der Apache-Webserver ein öffentlich zugängliches Webangebot beherbergt. Durch den Systemaufruf chroot() wird unter Unix der Zugriff eines bestimmten Programms auf einen Teil des Dateibaums beschränkt. Dies geschieht dadurch, dass alle Zugriffe, die dieses Programm (und die von ihm aufgerufenen Programme) auf das Dateisystem durchführt, relativ zu dem Verzeichnis erfolgen, das beim Aufruf der Funktion chroot() angegeben wurde. Dieses Verzeichnis wird so zur Wurzel eines virtuellen Dateibaums, der als chroot-Käfig oder chroot jail bezeichnet wird.

Wurzelverzeichnis

Abbildung: Wurzelverzeichnis

Neben dem Systemaufruf chroot() steht auch ein ausführbares Programm gleichen Namens zur Verfügung, das zum Start beliebiger Programme (und damit auch des Apache-Webservers) in einem solchen chroot-Käfig genutzt werden kann. Wenn es beispielsweise einem Angreifer gelingen würde, eigenen Programmcode im Prozessraum des Webservers auszuführen, so würde in diesem Fall der unmittelbare Schaden zunächst dadurch begrenzt werden, dass der Angreifer keinen direkten Zugriff auf das eigentliche Betriebssystem erhält. Zwar existieren Möglichkeiten, aus einem chroot-Käfig auszubrechen, aber da ein Angreifer erst einmal erkennen muss, dass er sich in einem chroot-Käfig befindet und dann auch noch aus diesem ausbrechen muss, wird auf jeden Fall ein Angriff verzögert. Während dieser Zeit kann eventuell der Angriff erkannt und Gegenmaßnahmen eingeleitet werden.

Der chroot-Käfig muss Kopien aller Dateien enthalten, die zur Ausführung des Apache-Webservers (sowie etwaiger Zusatzprogramme, CGI-Skripte und ähnlichem) notwendig sind. Welche Dateien dies sind, hängt von einer Vielzahl von Faktoren ab (z. B. Release-Stand des Betriebssystems oder verwendeter Hardware-Plattform). Daher kann an dieser Stelle keine Mindestkonfiguration angegeben werden, sondern diese muss anhand der vorhandenen Dokumentation und der konkreten Anforderungen im Einzelfall zusammengestellt werden.

Wird in Betracht gezogen, den Apache-Webserver in einem chroot-Käfig zu installieren, so muss auf jeden Fall ausreichend Zeit für Planung und Tests vorgesehen werden. Bei der Installation muss dokumentiert werden,

Insbesondere müssen einige Device Files im chroot-Käfig angelegt werden, außerdem werden entsprechend "abgespeckte" Versionen der Dateien /etc/passwd und /etc/group benötigt. Aus diesen Dateien sollten alle nicht benötigten Einträge bis auf den Benutzer bzw. die Gruppe entfernt werden, unter denen der Apache-Webserver laufen soll. Je nach Betriebssystem können noch andere Einträge erforderlich sein.

Die Zugriffsberechtigungen für das Wurzelverzeichnis für den chroot-Käfig sollten so restriktiv wie möglich eingestellt werden.

Die Einrichtung eines chroot-Käfigs ist relativ aufwendig. Für öffentlich zugängliche Webangebote kann sie jedoch die Sicherheit erhöhen.