[OpenBSD] Chroot apache - apr_proc_detach - Linux en overige clients

zaterdag 12 maart 2005 16:34

Acties:

Unagi

Topicstarter

Ik probeer op een OpenBSD 3.6 server apache in een chroot te krijgen. Heb een chroot opgezet in /usr/chroot, apache 2.0.53 geinstalleerd in /usr/local/apache en daarna naar de chroot gemoved. Alles lijkt nu goed te gaan, ik start de server op met

code:

1	/usr/sbin/chroot /chroot/httpd /usr/local/apache/bin/httpd

Er verschijnen geen foutmeldingen maar met ps toch geen proces te vinden. Als ik dan in de error_log kijk dan staat daar wel een foutmelding.

code:

1 2	[Sat Mar 12 13:26:57 2005] [crit] (6)Device not configured: apr_proc_detach failed Pre-configuration failed

Ik zoek nu al enkele dagen op internet naar deze melding, daaruit kwamen een tweetal oplossingen. De eerste was de home dir van de gebruiker aanmaken als wie apache draait, gedaan maar maakt geen verschil. Verder komt er een paar keer terug dat /dev/null moet bestaan, ook dat heb ik gedaan.

Heeft iemand enig idee wat dit zou kunnen zijn?

http://www.bonuszoeken.nl

zaterdag 12 maart 2005 16:55

Acties:

Wilke

Dat wil zeggen (neem ik aan), dat /dev/null moet bestaan _binnen_ de chroot.

Net als een /tmp met de juiste permissies en waarschijnlijk nog wel wat dingen...dus de vraag is even, volg je een of andere beschrijving/HOWTO, en wat heb je allemaal opgezet binnen die chroot?

(heb hier zelf geen ervaring mee overigens, dus weet zo ook niet precies wat het probleem is).

zaterdag 12 maart 2005 17:20

Acties:

stefklep

((Stefklepje))

Waarom is de standart apache die in src zit niet voldoende ?
En waarom in chroot draaien waar is het voor nodig ?

zaterdag 12 maart 2005 17:28

Acties:

Baarsjes

Unagi

Topicstarter

stefklep schreef op zaterdag 12 maart 2005 @ 17:20:
Waarom is de standart apache die in src zit niet voldoende ?
En waarom in chroot draaien waar is het voor nodig ?

Ik heb reeds een server waarbij het in chroot draait, dit is een RedHat server maar goed. Nu wil ik hierbij php gaan zetten met mysql. Maar om dit nou uit te gaan proberen op een server die in gebruik is vind ik niet zo'n best idee. En dus wil het op mijn test server voor elkaar zien te krijgen, zodat de situatie min of meer hetzelfde is, om ervaring op te doen dus.

Wilke schreef op zaterdag 12 maart 2005 @ 16:55:
Dat wil zeggen (neem ik aan), dat /dev/null moet bestaan _binnen_ de chroot.

Net als een /tmp met de juiste permissies en waarschijnlijk nog wel wat dingen...dus de vraag is even, volg je een of andere beschrijving/HOWTO, en wat heb je allemaal opgezet binnen die chroot?

(heb hier zelf geen ervaring mee overigens, dus weet zo ook niet precies wat het probleem is).

Ik heb idd een tutorial gebruikt, niet in zijn geheel hetzelfde maar grotendeels wel. Toen dit niet meteen werkte heb ik er diverse andere tutorials op nageslagen, zonder resultaat. Het bestand /dev/null bestaat dus ook in de chroot.

http://www.bonuszoeken.nl

zaterdag 12 maart 2005 20:58

Acties:

stefklep

((Stefklepje))

Openbsd draait Apache van de src dir al autmatische in chroot.
als je in rc.conf dit verandert zet je het uit

zo als ik het gedaan heb om phpsysinfo te kunnen draaien

# use -u to disable chroot, see httpd
httpd_flags=-u # for normal use: "" (or "-DSSL" after reading ssl

Dus gewoon apache pakken uit de src dir en dan ben je gelijk overal van af en heb je een goed stabiel systeem.

[ Voor 27% gewijzigd door stefklep op 12-03-2005 21:00 ]

zaterdag 12 maart 2005 21:58

Acties:

Baarsjes

Unagi

Topicstarter

stefklep schreef op zaterdag 12 maart 2005 @ 20:58:
Openbsd draait Apache van de src dir al autmatische in chroot.
als je in rc.conf dit verandert zet je het uit
zo als ik het gedaan heb om phpsysinfo te kunnen draaien

# use -u to disable chroot, see httpd
httpd_flags=-u # for normal use: "" (or "-DSSL" after reading ssl

Dus gewoon apache pakken uit de src dir en dan ben je gelijk overal van af en heb je een goed stabiel systeem.

Ik wil hem dus per se in een chroot draaien omdat dit in de productie omgeving ook zo is. Ik zit nu dus nog slechts in de voorbereidende fase, ik moet deze setup eerst zo werkend krijgen voordat ik kan gaan testen en uitproberen.

Ik snap dat je het normaal kan draaien of met de standaard setup, standaard lukt het vrij makkelijk allemaal, het gaat mij juist om de /chroot setup. Bedankt voor je tips maar in dit geval heb ik er dus niets aan om om het probleem heen te werken, ik wil het probleem graag oplossen.

http://www.bonuszoeken.nl

zaterdag 12 maart 2005 22:02

Acties:

stefklep

((Stefklepje))

Baarsjes schreef op zaterdag 12 maart 2005 @ 21:58:
[...]

Ik wil hem dus per se in een chroot draaien omdat dit in de productie omgeving ook zo is. Ik zit nu dus nog slechts in de voorbereidende fase, ik moet deze setup eerst zo werkend krijgen voordat ik kan gaan testen en uitproberen.

Ik snap dat je het normaal kan draaien of met de standaard setup, standaard lukt het vrij makkelijk allemaal, het gaat mij juist om de /chroot setup. Bedankt voor je tips maar in dit geval heb ik er dus niets aan om om het probleem heen te werken, ik wil het probleem graag oplossen.

Ja je kan ook koppige doen

Maar eigenlijk wat je zoekt zit er al standert in. Ofwel zo ga je een beetje je systeem verklooien met apache2 heb ik ook tijdje draaiend gehad maar gebruik hem niks voor niks nu niet meer kwa beveiliging reden waar ik tegen aan liep.

zaterdag 12 maart 2005 22:10

Acties:

Baarsjes

Unagi

Topicstarter

stefklep schreef op zaterdag 12 maart 2005 @ 22:02:
[...]

Ja je kan ook koppige doen Maar eigenlijk wat je zoekt zit er al standert in. Ofwel zo ga je een beetje je systeem verklooien met apache2 heb ik ook tijdje draaiend gehad maar gebruik hem niks voor niks nu niet meer kwa beveiliging reden waar ik tegen aan liep.

Misschien ben ik dan koppig. Maar ik vind het dus niet erg om dit systeem in zijn geheel en compleet te verklooien. Ik vind het wel erg om mijn machine die live draait om zeep te helpen.

Ik zoek dus geen manier om apache beveiligd te draaien. Ik heb dus ook geen baat bij de standaard veiligheden die in OpenBSD zitten aangezien de setup dan gewoon anders is dan mijn live omgeving. Ik hoef dus geen alternatieven voor een chroot omgeving.

Ik wil gewoon een test omgeving opzetten, ik heb 1 foutmelding en ik hoop dat iemand hier daar ervaring mee heeft.

Edit: als ik de server opstart met de -X optie dan werkt de server wel, dit is volgens de docs zoiets als single-proces mode. Doch in de documentatie is te lezen dat dit enkel voor debug is. Als het in deze situatie wel werkt, in welke richting moet ik dan zoeken?

[ Voor 13% gewijzigd door Baarsjes op 12-03-2005 23:21 ]

http://www.bonuszoeken.nl

zondag 13 maart 2005 11:55

Acties:

stefklep

((Stefklepje))

Baarsjes schreef op zaterdag 12 maart 2005 @ 22:10:
[...]

Misschien ben ik dan koppig. Maar ik vind het dus niet erg om dit systeem in zijn geheel en compleet te verklooien. Ik vind het wel erg om mijn machine die live draait om zeep te helpen.

Ik zoek dus geen manier om apache beveiligd te draaien. Ik heb dus ook geen baat bij de standaard veiligheden die in OpenBSD zitten aangezien de setup dan gewoon anders is dan mijn live omgeving. Ik hoef dus geen alternatieven voor een chroot omgeving.

Ik wil gewoon een test omgeving opzetten, ik heb 1 foutmelding en ik hoop dat iemand hier daar ervaring mee heeft.

Edit: als ik de server opstart met de -X optie dan werkt de server wel, dit is volgens de docs zoiets als single-proces mode. Doch in de documentatie is te lezen dat dit enkel voor debug is. Als het in deze situatie wel werkt, in welke richting moet ik dan zoeken?

Welke Packets heb je allemaal bij de install mee gedaan ofwel toen je van cd booten en alles ging installen kom je kiezen bv uit base bds enzo en heb je hem via netwerk of cd geinstalld ?

zondag 13 maart 2005 19:38

Acties:

Baarsjes

Unagi

Topicstarter

stefklep schreef op zondag 13 maart 2005 @ 11:55:
[...]
Welke Packets heb je allemaal bij de install mee gedaan ofwel toen je van cd booten en alles ging installen kom je kiezen bv uit base bds enzo en heb je hem via netwerk of cd geinstalld ?

Ik heb geinstalleerd vanaf het netwerk, als het bij kan dragen aan een oplossing dan zoek ik graag na welke van de 9 (?) packages ik heb geinstalleerd. Zou jij dan kunnen aangeven wat dit te maken zou hebben met mijn probleem?

http://www.bonuszoeken.nl

zondag 13 maart 2005 21:25

Acties:

stefklep

((Stefklepje))

Baarsjes schreef op zondag 13 maart 2005 @ 19:38:
[...]

Ik heb geinstalleerd vanaf het netwerk, als het bij kan dragen aan een oplossing dan zoek ik graag na welke van de 9 (?) packages ik heb geinstalleerd. Zou jij dan kunnen aangeven wat dit te maken zou hebben met mijn probleem?

Omdat je aangeeft als je met -X opstart het wel werk mischien kan je dat iets beter toelichten want dit lijkt mijn nauwelijkt met elkaar te maaken hebben.

maandag 14 maart 2005 07:55

Acties:

Baarsjes

Unagi

Topicstarter

stefklep schreef op zondag 13 maart 2005 @ 11:55:
[...]
Welke Packets heb je allemaal bij de install mee gedaan ofwel toen je van cd booten en alles ging installen kom je kiezen bv uit base bds enzo en heb je hem via netwerk of cd geinstalld ?

Ik heb het even nagekeken, ik heb de volgende packages geinstalleerd:

bsd bsd.rd bsd.mp base36.tgz etc36.tgz misc36.tgz comp36.tgz man36.tgz

stefklep schreef op zondag 13 maart 2005 @ 21:25:
[...]

Omdat je aangeeft als je met -X opstart het wel werk mischien kan je dat iets beter toelichten want dit lijkt mijn nauwelijkt met elkaar te maaken hebben.

Ik kan het in zoverre toelichten dat ik de server wel kan opstarten met de -X optie, ik kan de standaard apache site dan ook gewoon bereiken. Maar in de documentatie is duidelijk terug te vinden dat dit slechts voor debug bedoelt is. Ik kan helaas nergens vinden wat het zou betekenen als het met deze optie wel werkt.

http://www.bonuszoeken.nl

maandag 14 maart 2005 11:43

Acties:

Verwijderd

Welke files heb je wel/niet in je chroot zitten? Zit /dev/null en /dev/urandom erin? Heb je /proc gemount binnen je chroot? Gebruik truss (of strace) anders eens om apache te starten en zet de output hiervan ergens online.

[ Voor 29% gewijzigd door Verwijderd op 14-03-2005 11:44 ]