描述:配置用于监控Web服务器进程的目录路径。


语法:SecChrootDir /path/to/chroot/dir


举例:SecChrootDir /chroot


使用范围:主配置文件中使用


版本:2.0.0-2.9.x


此功能在Windows版本上不可用。 ModSecurity提供的内部chroot功能非常适合简单的设置。简单设置的一个例子是Apache只提供静态文件,或者使用内置模块运行应用程序。您可能会遇到一些更复杂的设置问题:

DNS查找不起作用(这是因为此功能要求共享库在chroot发生后按需加载)。

您不能从PHP发送电子邮件,因为它希望在监控外使用sendmail和sendmail resides。

在某些情况下,当您将Apache从其配置中分离出来时,重新启动和正常重新加载不再有效。

使用SecChrootDir的最佳方式如下:

创建/chroot是你的主要监控目录。

在监控中创建/chroot/opt/apache。

创建一个从/opt/apache到/chroot/opt/apache的符号链接。

现在将Apache安装到/chroot/opt/apache中。

您应该知道,内部chroot功能可能不是100%可靠的。由于Apache Web服务器有大量默认模块和第三方模块可用,因此无法验证内部chroot是否能够可靠地与所有模块一起工作。一个在Apache内部工作的模块可以做一些事情,使其很容易无法被监控。特别是,如果您正在使用模块初始化阶段的任何模块(例如,mod_fastcgi,mod_fcgid,mod_cgid),建议您检查每个Apache进程并观察其当前工作目录,进程根目录和打开文件。考虑你的选择,并作出自己的决定。


注意:这个指令无法在VirtualHosts中使用。如果启用,它必须放置在全局配置文件中,例如默认的modsecurity.conf。



Created with the Personal Edition of HelpNDoc: Easy EPub and documentation editor