Это старая версия документа!
Содержание
Сажаем apache в тюрьму, а шифровки ему туда будет носить nginx
Введение
В далеком 2007-м году автор столкнулся с проблемой когда один из сайтов был взломан, и злоумышленник получил доступ к консоле сервера. Присутствие постороннего было обнаружено, только через два часа и за это время он успел дотянуться до других серверов, которые находились в dmz. С тех пор я предпочитаю рассаживать сайты по разным jail-ам и максимально изолировать их друг от друга и от базового сервера, для того чтоб максимально усложнить жизнь очередному хакеру. 
Настройка
Начнем с создания пустой клетки, из которой потом по необходимости будет клонировать рабочие. В принципе можно каждый раз клетку создавать с нуля.
Создание базовой jail
Создаем файловую систему для клеток, и внутри нее еще одну ФС для клетки с лимитом в 5Gb:
zfs create -o mountpoint=/jails zroot/jails zfs create -o quota 5G zroot/jails/empty
Скачиваем архив с базовой системой и разворачиваем его:
cd /jails/empty fetch http://ftp.ru.freebsd.org/pub/FreeBSD/releases/amd64/12.1-RELEASE/base.txz tar xvJf ./base.txz rm -f ./base.txz
Обновляем систему внутри будущей клетки:
freebsd-update -b /jails/empty/ fetch install
Теперь базовая пустая клетка готова. При необходимости новую jail можно создать на ее основе при помощи команды zfs clone:
zfs snapshot zroot/jails/empty@12.1 && zfs list -t snapshot zfs clone zroot/jails/empty@12.1 zroot/jails/www
Настройка системы
Поскольку мы хотим максимально изолировать клетку от внешнего мира и от базового сервера, то работать с интернетом они будут через сетевой мост.
rc.conf
Создадим два интерфейса для двух разных клеток. В /rtc/rc.conf прописываем:
cloned_interfaces="bridge0 epair0 epair1" ifconfig_bridge0="inet 10.0.0.1/24 addm epair0b addm epair1b up" ifconfig_epair0b="up" ifconfig_epair1b="up"
Поднимаем интерфейсы:
service netif cloneup
Firewall
По умолчанию у клеток не будет доступа в интернет, но он потребуется для установки и обновления ПО. Поэтому в /etc/pf.conf прописываем:
nat on $ext_if from 10.0.0.0/24 to any -> ($ext_if)
table <jails> persist
pass inet proto tcp from <jails> to any port { http, https } flags S/SA keep state
применяем новые правила:
service pf reload
Теперь для того, чтоб предоставить клетке доступ в интернет для обновления ПО достаточно просто добавить в таблицу jails необходимые ip адреса.
Настройка jail
Создаем /etc/jail.conf:
exec.start = "/bin/sh /etc/rc";
exec.stop = "/bin/sh /etc/rc.shutdown";
exec.clean;
mount.devfs;
path = "/jails/$name";
exec.consolelog = "/var/log/jail_${name}_console.log";
www {
$vif = "epair0a";
host.hostname = "www.local";
vnet;
vnet.interface = $vif;
# workaround
# https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=238326
exec.prestop += "ifconfig $vif -vnet $name";
allow.chflags;
devfs_ruleset = 10;
}
Так же перед запуском надо настроить сеть внутри самой клетки. Для этого создаем файлы rc.conf:
echo 'defaultrouter="10.0.0.1" \ ifconfig_epair0a="10.0.0.2/24" >> /jails/www/etc/rc.conf
и файл resolv.conf:
echo 'nameserver 10.0.0.1' >> /jails/www/etc/resolv.conf
Запуск
service jail enable service jail start
jls
jexec 1 /bin/sh
#user nobody;
worker_processes 1;
# This default error log path is compiled-in to make sure configuration parsing
# errors are logged somewhere, especially during unattended boot when stderr
# isn't normally logged anywhere. This path will be touched on every nginx
# start regardless of error log location configured here. See
# https://trac.nginx.org/nginx/ticket/147 for more info.
#
#error_log /var/log/nginx/error.log;
#
#pid logs/nginx.pid;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
#access_log logs/access.log main;
server_tokens off;
sendfile on;
#tcp_nopush on;
#keepalive_timeout 0;
keepalive_timeout 65;
#gzip on;
server {
listen 10.30.10.79:80 default_server;
server_name localhost;
#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root /usr/local/www/nginx;
index index.html index.htm;
}
#error_page 404 /404.html;
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/local/www/nginx-dist;
}
# proxy the PHP scripts to Apache listening on 127.0.0.1:80
#
#location ~ \.php$ {
# proxy_pass http://127.0.0.1;
#}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
#location ~ \.php$ {
# root html;
# fastcgi_pass 127.0.0.1:9000;
# fastcgi_index index.php;
# fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
# include fastcgi_params;
#}
# deny access to .htaccess files, if Apache's document root
# concurs with nginx's one
#
#location ~ /\.ht {
# deny all;
#}
}
server {
listen tst.nzgw.ru:80;
server_name tst.nzgw.ru;
rewrite ^(.*) https://$server_name$1 permanent;
}
server {
listen tst.nzgw.ru:443 ssl;
server_name tst.nzgw.ru;
root /vhosts/www.example.net;
# ssl on;
ssl_certificate /usr/local/etc/ssl/fullchain1.pem;
ssl_certificate_key /usr/local/etc/ssl/privkey1.pem;
ssl_trusted_certificate /usr/local/etc/ssl/chain1.pem;
ssl_prefer_server_ciphers on;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
ssl_dhparam /usr/local/etc/ssl/dh2048.pem;
# intermediate configuration. tweak to your needs.
# ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
location / {
proxy_pass http://10.0.0.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
}
openssl dhparam -out dh2048.pem 2048