Theo de Raadt egy levelet küldött az OpenBSD-misc levelezési listára, melyben bejelenti, hogy a httpd (webszerver) mostantól a /var/www könyvtárba lesz zárva (chroot - jail).A dologra azért került sor, mert az OpenBSD fejlesztők szerint mostanában veszélyes megbízni a webszerverekben (nyilván a legutolsó apache bugra céloznak). Ezt a chroot-olt megoldást nem kötelező használni, akinek nem tetszik, annak egy egyszerű '-u' flaget kell beállítani a httpd_flags értékének a /etc/rc.conf-ban. Ezzel a beállítással vissza lehet térni a hagyományos megoldáshoz.
Ahogy Theo a levelében írja, ez a legjobb dolog amit jelenleg tehetnek a webszerverek bugjai ellen. Sajnos az Apache kódja túl monolitikus, borzasztóan nagy, ezért a soronkénti auditálás nem használható. Ezért a legegyszerűbb megoldást választották, 'jail'-be zárták az alkalmazást.
Tehát az új funkciót egy egyszerű '-u' kapcsolóval lehet ki/be kapcsolni, más konfigurációs változtatásra nincs szükség.
Theo levele:
**********************************
To: misc@cvs.openbsd.org
Subject: httpd changes
From: Theo de Raadt
Date: Tue, 09 Jul 2002 15:19:07 -0600
--------------------------------------------------------------------------------
httpd by default now chroot's into /var/www.
This causes all sorts of fancy features to break. Fancy features which
we believe to be quite unsafe.
If you don't like this behaviour, use the -u flag for httpd_flags in
/etc/rc.conf to get back to the way it used to be. We bet that when
the next bug in apache comes, you'll regret it though.
This is the best approach we can currently take against such a
monolothic piece of software with such bad behaviours. It is just too
big to audit, so for simple usage, we are constraining it to within
that jail.
When you turn the -u flag on and off, no other configuration changes
are needed.
All this is documented.
Good luck.
*******************************************