Ol� RenatoHmm, n�o acho n�o. Acho que tudo que puder ser chrroted deve ser (tipo named, apache, mysql, etc).
Chrootar o Apache n�o � meio paran�ico? (alo, Theo de Raadt).
Vai que por uma infelicidade algu�m consegue explorar uma falha no apache e abre um shell.
Se o shell estiver chrootado j� barra os menos habilidosos.
Tamb�m acho que nada relacionado a seguran�a de servidor � paran�ico. Melhor pecar pelo exagero do que pela falta.
Isso � interessante. N�o conhecia. Vou pensar nessa possibilidade sim. N�o vou montar o vpopmail sobre o chroot do apache porque al�m do retrabalho eu teria que montar o qmail junto e ia ficar meio porco.Outra op��o � utilizar a montagem de low layer uppler layer entre os diret�rios. Dessa forma voc� consegue montar o diret�rio X no ponto de montagem Y e o sistema apresenta-o colo se realmente estivesse montado e determinado ponto, e n�o um mero link simbolico. Assim o seu /chroot/apache/home/vpopmail pode ser um ponto de montagem para /home/vpopmail e n�o apenas um link simbolico.
Infelizmente por alguns motivos n�o �. Est� na mesma parti��o.Se o seu /home/vpopmail for uma particao dedicada (e � ideal que seja), ai fica mais facil, basta voc�
mkdir -p /chroot/apache/home/vpopmail && \ mount /dev/adXsYZ /chroot/apache/home/vpopmail
O Apache at� oferece bastante recurso mas acho que confiar tanto assim n�o � um bom neg�cio.Particularmente acho que o Apache oferece recursos o bastante para ser seguro o suficiente em um ambiente n�o-CHRootado, e sua experi�ncia como administrador (/tmp em particao separada, noexec, nosuid, nodev), etc, evitariam at� que o fat�dido Scalper fizesse alguma diferen�a em instalacoes vulneraveis do Apache 1.3. Al�m do que voc� perde funcionalidades do Apache como /~usuario
Fora que num ambiente chrooted o /tmp fica sendo s� do apache, ou seja, uma preocupa��o a menos.
Mas enfim, apesar de desnecess�rio com Apache, paran�ia nunca � mal-vinda.Obrigado pela ajuda. Vou tentar fazer o esquema do low layer uppler layer, espero que sirva.
Estas s�o as op��es que eu poderia aconselhar inicialmente.
--
Renato Quinhoneiro Todorov Administra��o Linux / Programa��o [EMAIL PROTECTED] http://www.jetsites.com.br
_______________________________________________________________ Sair da Lista: http://lists.fugspbr.org/listinfo.cgi Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
