Apache-2.2
是否建議在 chroot 監獄中執行 Apache?
我認識的一個系統管理員建議我在 chroot 監獄中執行 Apache,以提高安全性。
我有以下問題:
- 這是可取的(即是否有任何我需要注意的“陷阱”)?
- 在 chroot 監獄中執行 Apache 會影響其性能和可擴展性等能力問題嗎?
他還建議我在單獨的 chroot 監獄中執行我的數據庫(mySQL 和 PostgreSQL)。
這是在生產系統中經常做的事情嗎
$$ Edit $$ 忘了說,伺服器在 Ubuntu 8.04 LTS 上執行
chroot 是一種很好的安全措施,它限制了在成功利用的情況下破壞系統的可能性,但在某些情況下也有一些方法可以逃避 chroot,因此它不是保護系統的確定方法。
我不知道有關性能和可擴展性的任何缺點。關於數據庫訪問,通常通過 chroot 內的套接字連結來完成,這樣您就不必打開任何網路埠來連接數據庫。
編輯:下面是從 OpenBSD rc.local(OpenBSD chrooted httpd)獲取的 mysql 訪問範例
if [ X"${mysql_server_flags-NO}" != X"NO" -a -x /usr/local/bin/mysqld_safe ]; then rm -R /var/www/var/run/mysql mkdir -p /var/www/var/run/mysql chown _mysql:_mysql /var/www/var/run/mysql echo -n 'MySQL server: '; /usr/local/bin/mysqld_safe --user=_mysql ${mysql_server_flags} & sleep 10 ln -f /var/run/mysql/mysql.sock /var/www/var/run/mysql/mysql.sock fi
希望這可以幫助。