Hallo!

Ich habe gerade so eine Ultra-Hochsicherheits-Installation unter Linux in der Mache, bei der der Webserver mit Hilfe der - natuerlich von BSD abgekupferten - "Capabilities" in einem unausbrechbaren chroot-Kaefig als User laufen soll. Das ist dann quasi Jail fuer Linux, nennt sich aber compartment oder auch cage.
Diese Capabilities ermoeglichen, einem Prozess in einer sehr feinen Granularitaet Rechte zu geben, also z.B. auf Ports zugreifen, Raw-Packets schicken, Dateien zerbroeseln etc..
Dummerweise scheint der Apache, obwohl ich ihm die Rechte dazu gegeben habe, davon ueberzeugt zu sein, nicht auf Port 80 "bind"en zu koennen; moeglicherweise, weil er nicht als root laeuft?
Nun steht in der Doku vom Apache nichts davon, dass man ihn evtl. davon ueberzeugen koennte, dass er auch als User auf Port 80 zugreifen darf.

Weil es ja moeglicherweise noch viel sicherer sein koennte, wenn nicht mal der Parent-Prozess vom Apache root waere, haetten wir das gerne hinbekommen.
Ich hoffe, die BSD-ler unter uns, die Streiter wieder die Unsicherheit, die uebrigens meine Helden sind, wenn sie mir nicht gerade wegen irgendwelcher Lapalien Vorwuerfe machen (als root im chat etc... dabei wisst ihr ja nicht mal, ob die ID vom User root bei mir lokal auch 0 ist...), kennen sich aus und koennen Auskunft geben.

Bitte bitte!

Hatte ich erwaehnt, dass das morgen fertig sein muss?

;-)

Gruesse,

Bio