在使用该技术的时候，一般情况下需要事先创建目录，并将守护进程的可执行文件httpd复制到其中。同时，由于httpd需要几个库文件，所以需要把httpd程序依赖的几个lib文件同时也拷贝到同一个目录下，因此手工完成这一工作是非常麻烦的。幸运的是，用户可以通过使用开源的jail软件包来帮助简化chroot“监牢”建立的过程，具体步骤如下所示：

Jail官方网站是：http://www.jmcresearch.com/projects/。首先将其下载，然后执行如下命令进行源代码包的编译和安装：

#tar xzvf jail_1.9a.tar.gz

#cd jail/src

#make

jail软件包提供了几个Perl脚本作为其核心命令，包括mkjailenv、addjailuser和addjailsw，他们位于解压后的目录jail/bin中。这几个命令的基本用途如下所示：

•mkjailenv：用于创建chroot“监牢”目录，并且从真实文件系统中拷贝基本的软件环境。

•addjailsw：用于从真实文件系统中拷贝二进制可执行文件及其相关的其它文件(包括库文件、辅助性文件和设备文件)到该“监牢”中。

•addjailuser：创建新的chroot“监牢”用户。

采用jail创建监牢的步骤如下所示;

(1)首先需要停止目前运行的httpd服务，然后建立chroot目录，命令如下所示。该命令将chroot目录建立在路径/root/chroot/httpd下：

# service httpd stop

# mkjailenv /root/chroot/httpd

kjailenv

A component of Jail (version 1.9 for linux)

http://www.gsyc.inf.uc3m.es/~assman/jail/

Juan M. Casillas

Making chrooted environment into /root/chroot/httpd

Doing preinstall()

Doing special_devices()

Doing gen_template_password()

Doing postinstall()

Done.

(2)为“监牢”添加httpd程序，命令如下：

# ./addjailsw /root/chroot/httpd/ -P /usr/sbin/httpd

addjailsw

A component of Jail (version 1.9 for linux)

http://www.gsyc.inf.uc3m.es/~assman/jail/

Juan M. Casillas

Guessing /usr/sbin/httpd args(0)

Warning: can't create /proc/mounts from the /proc filesystem

Done.

在上述过程中，用户不需要在意那些警告信息，因为jail会调用ldd检查httpd用到的库文件。而几乎所有基于共享库的二进制可执行文件都需要上述的几个库文件。

(3)然后，将httpd的相关文件拷贝到“监牢”的相关目录中，命令如下所示：

# mkdir -p /root/chroot/httpd/etc

# cp –a /etc/httpd /root/chroot/httpd/etc/

。。。。。。

添加后的目录结构如下所示：

# ll

总计 56

drwxr-xr-x 2 root root 4096 03-23 13:44 dev

drwxr-xr-x 3 root root 4096 03-23 13:46 etc

drwxr-xr-x 2 root root 4096 03-23 13:46 lib

drwxr-xr-x 2 root root 4096 03-23 13:46 selinux

drwsrwxrwx 2 root root 4096 03-23 13:46 tmp

drwxr-xr-x 4 root root 4096 03-23 13:46 usr

drwxr-xr-x 3 root root 4096 03-23 13:46 var

(4)重新启动httpd，并使用ps命令检查httpd进程，发现该进程已经运行在监牢中，如下所示：

# ps -aux | grep httpd

Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.7/FAQ

root 3546 0.6 0.3 3828 1712 pts/2 S 13:57 0:00 /usr/sbin/nss_pcache off /etc/httpd/alias

root 3550 14.2 3.6 49388 17788 ? Rsl 13:57 0:00 /root/chroot/httpd/httpd

apache 3559 0.2 1.4 49388 6888 ? S 13:57 0:00 /root/chroot/httpd/httpd

apache 3560 0.2 1.4 49388 6888 ? S 13:57 0:00 /root/chroot/httpd/httpd

apache 3561 0.2 1.4 49388 6888 ? S 13:57 0:00 /root/chroot/httpd/httpd

apache 3562 0.2 1.4 49388 6888 ? S 13:57 0:00 /root/chroot/httpd/httpd

apache 3563 0.2 1.4 49388 6888 ? S 13:57 0:00 /root/chroot/httpd/httpd

apache 3564 0.2 1.4 49388 6888 ? S 13:57 0:00 /root/chroot/httpd/httpd

apache 3565 0.2 1.4 49388 6888 ? S 13:57 0:00 /root/chroot/httpd/httpd

apache 3566 0.2 1.4 49388 6888 ? S 13:57 0:00 /root/chroot/httpd/httpd

root 3568 0.0 0.1 4124 668 pts/2 R+ 13:57 0:00 grep httpd

 

策略三：启用Apache自带安全模块保护

Apache的一个优势便是其灵活的模块结构，其设计思想也是围绕模块(module)概念而展开的。安全模块是Apache Server中的极其重要的组成部分。这些安全模块负责提供Apache server的访问控制和认证，授权等一系列至关重要的安全服务。

Apache下有如下几类与安全相关的模块：

•mod_access模块能够根据访问者的IP地址(或域名，主机名等)来控制对Apache服务器的访问，称之为基于主机的访问控制。

•mod_auth模块用来控制用户和组的认证授权(Authentication)。用户名和口令存于纯文本文件中。

•mod_auth_db和mod_auth_dbm模块则分别将用户信息(如名称、组属和口令等)存于Berkeley-DB及DBM型的小型数据库中，便于管理及提高应用效率。

•mod_auth_digest模块则采用MD5数字签名的方式来进行用户的认证，但它相应的需要客户端的支持。

•mod_auth_anon模块的功能和mod_auth的功能类似，只是它允许匿名登录，将用户输入的E-mail地址作为口令。

•mod_ssl被Apache用于支持安全套接字层协议，提供Internet上安全交易服务，如电子商务中的一项安全措施。通过对通信字节流加密来防止敏感信息的泄漏。但是，Apache这种支持是建立在对Apache的API扩展来实现的，相当于一个外部模块，通过与第三方程序(如openssl)的结合提供安全的网上交易支持。

为了能够使用模块功能，模块通常以DSO(Dynamic Shared Object)的方式构建，用户应该在httpd.conf文件中使用LoadModule指令，使得能够在使用前获得模块的功能。下面是主配置文件中各个模块的情况，开启安全模块非常简单，即去掉在各安全模块所在行前的“#”符号即可，如下所示：

LoadModule auth_basic_module modules/mod_auth_basic.so