是否建議在 chroot 監獄中執行 Apache？

我認識的一個系統管理員建議我在 chroot 監獄中執行 Apache，以提高安全性。

我有以下問題：

1. 這是可取的（即是否有任何我需要注意的“陷阱”）？
2. 在 chroot 監獄中執行 Apache 會影響其性能和可擴展性等能力問題嗎？

他還建議我在單獨的 chroot 監獄中執行我的數據庫（mySQL 和 PostgreSQL）。

這是在生產系統中經常做的事情嗎

$$ Edit $$ 忘了說，伺服器在 Ubuntu 8.04 LTS 上執行

chroot 是一種很好的安全措施，它限制了在成功利用的情況下破壞系統的可能性，但在某些情況下也有一些方法可以逃避 chroot，因此它不是保護系統的確定方法。

我不知道有關性能和可擴展性的任何缺點。關於數據庫訪問，通常通過 chroot 內的套接字連結來完成，這樣您就不必打開任何網路埠來連接數據庫。

編輯：下面是從 OpenBSD rc.local（OpenBSD chrooted httpd）獲取的 mysql 訪問範例

if [ X"${mysql_server_flags-NO}" != X"NO" -a -x /usr/local/bin/mysqld_safe ]; then
       rm -R /var/www/var/run/mysql
       mkdir -p /var/www/var/run/mysql
       chown _mysql:_mysql   /var/www/var/run/mysql
       echo -n 'MySQL server: '; /usr/local/bin/mysqld_safe --user=_mysql ${mysql_server_flags} &
       sleep 10
       ln -f /var/run/mysql/mysql.sock /var/www/var/run/mysql/mysql.sock
fi

希望這可以幫助。

引用自：https://serverfault.com/questions/147726