Apache-2.2

是否建議在 chroot 監獄中執行 Apache?

  • August 10, 2016

我認識的一個系統管理員建議我在 chroot 監獄中執行 Apache,以提高安全性。

我有以下問題:

  1. 這是可取的(即是否有任何我需要注意的“陷阱”)?
  2. 在 chroot 監獄中執行 Apache 會影響其性能和可擴展性等能力問題嗎?

他還建議我在單獨的 chroot 監獄中執行我的數據庫(mySQL 和 PostgreSQL)。

這是在生產系統中經常做的事情嗎

$$ Edit $$ 忘了說,伺服器在 Ubuntu 8.04 LTS 上執行

chroot 是一種很好的安全措施,它限制了在成功利用的情況下破壞系統的可能性,但在某些情況下也有一些方法可以逃避 chroot,因此它不是保護系統的確定方法。

我不知道有關性能和可擴展性的任何缺點。關於數據庫訪問,通常通過 chroot 內的套接字連結來完成,這樣您就不必打開任何網路埠來連接數據庫。

編輯:下面是從 OpenBSD rc.local(OpenBSD chrooted httpd)獲取的 mysql 訪問範例

if [ X"${mysql_server_flags-NO}" != X"NO" -a -x /usr/local/bin/mysqld_safe ]; then
       rm -R /var/www/var/run/mysql
       mkdir -p /var/www/var/run/mysql
       chown _mysql:_mysql   /var/www/var/run/mysql
       echo -n 'MySQL server: '; /usr/local/bin/mysqld_safe --user=_mysql ${mysql_server_flags} &
       sleep 10
       ln -f /var/run/mysql/mysql.sock /var/www/var/run/mysql/mysql.sock
fi

希望這可以幫助。

引用自:https://serverfault.com/questions/147726