Wie man Hacker mit Apache und chroot in die Falle lockt

Beschränkung des Apache-Zugriffs auf das Dateisystem:
Da Apache von einem versierten und zielstrebigen Hacker geknackt werden kann, besteht der Trick darin, den Zugriff von Apache auf einen eingeschränkten Bereich des Dateisystems zu begrenzen. Auf diese Weise erreicht ein Eindringling in das Apache-System überhaupt nichts – außer dass er einen Tunnel in eine Gefängniszelle gegraben hat. Die Attacke wurde auf einen bestimmten Bereich beschränkt und der Angreifer hat keinen Zugang zu jeglichen anderen Dateien.

Der UNIX-Systemaufruf chroot() ändert das Root-Verzeichnis sämtlicher ihn aufrufender Prozesse. Er kann ausschließlich von Root verwendet werden und wird wie folgt ausgeführt:

Dabei ist /tmp/root/directory das Root-Verzeichnis, das man benutzen will. Der chroot-Befehl ändert also das Root-Verzeichnis des aufrufenden Prozesses in /tmp/ und führt dort /bin/bash aus. Das Schöne an diesem geschickten Austausch ist, dass /bin/bash nichts von seiner Begrenzung weiß! Es sieht zwar sein Root-Verzeichnis, doch nicht das vorangehende Unterverzeichnis – es steckt also fest!

Wenn ein mit chroot blockiertes Programm auf diese Weise auf ein Unterverzeichnis beschränkt wurde, bleibt auch jeglicher Schaden, den seine Ausführung anrichten könnte, auf dieses Verzeichnis beschränkt. Natürlich kann man das als „Falle“ dienende Verzeichnis so einrichten, dass ein dort abgefangenes Hacker-Programm keinen Schaden verursachen kann. Beispielsweise kann man festlegen, dass keine Anwendungen zur Dateihandhabung oder Compiler oder andere dateiverarbeitende Software von dem jeweiligen Verzeichnis aus ausgeführt werden können.