是否可以在 RHEL 7 上使用 apache 2.4 進行 chrooting?chroot 有意義嗎?
我進行了研究,發現人們不確定 chroot 是否有助於安全。我有這些問題沒有得到解答。如果可以的話 chrooting 是否值得在 rhel 7 上為 httpd 2.4 完成?請分享任何資源或參考。如果不是,那麼保護 Web 伺服器的等效方法是什麼?
提前致謝。
之前已經討論過這個問題:How to chroot Apache on CentOS?
是的,可以chroot apache。在 apache 2.4 中,您需要 mod_unixd 模組(https://httpd.apache.org/docs/2.4/mod/mod_unixd.html)。這個頁面解釋瞭如何做到這一點:https ://www.howtoforge.com/tutorial/chrooting-apache-2.4-with-mod_unixd-on-debian-8-jessie/儘管它聲稱是 Debian 的指南,但它應該仍然適用於 RHEL,因為該指南只提到了在 apache 2.4 中使用的指令。
話雖如此,我認為感知到的好處不值得付出代價。這份古老的(2004 年 5 月)文件討論了 chrooting apache 的優缺點。文章中的一個關鍵詞:
在 chroot 監獄中安裝 Apache 並不會使 Apache 本身更加安全。相反,它用於限制 Apache 及其子程序對文件系統的一小部分的訪問。對程序進行 chroot 的好處不是防止入侵,而是包含潛在的威脅。
而且,正如前面提到的問題/答案所說,包含入侵的更好方法是使用 RHEL 已經提供的安全功能:SELinux。大多數管理員只是在安裝時將其關閉,這樣他們就不必處理令人頭疼的問題。但是,花一點時間學習這個強大的功能將在以後省去更多的麻煩。