debootstrap chroot 安全嗎?
我在 Debian Squeeze AMD64 上遵循了本教程http://wiki.debian.org/chroot,以獲得一個獨立的環境。
這個chroot真的安全嗎?在其他 chroot 教程中,為應用程序創建 chroot 非常困難,本教程顯示它在 chroot 中安裝了一個小的獨立系統,包括一個包管理器。
我的目標是為 nginx + php5-fpm 製作一個 chroot,以強化 linux 伺服器。那是正確的方法嗎?
Debootstrap 用於包建構和測試。
首先,我不會認為chroot 是一項安全功能。
如果您的目標是強化託管 Web 伺服器 + Web 應用程序的伺服器,則其他措施更合適,即:
- 具有受限安裝選項的專用分隔分區/LV:
例如,我將 Web 伺服器的 DocumentRoot 設置為
/srv/www
,這是一個安裝了限制選項的專用邏輯卷
/dev/mapper/root_vg-srv_lv on /srv type ext4 (rw,nosuid,nodev,noexec,relatime,seclabel,quota,usrquota,grpquota,data=ordered,usrquota,grpquota)
相關的是
nodev, noexec, seclabel
和*quota
。這一切都是因為開發人員可以通過 git hub/live 儲存庫上傳內容,而我選擇不信任他們的安全權限、所有權、SELinux 標籤等……
- SELinux/AppArmor(第二個可能在 Debian 中得到更好的支持)
遺憾的是,SELinux 在 Debian 中的功能並不完整(儘管對 Squeeze 的支持比 wheezy、IIRC 更好)。出於這個原因,我建議使用 AppArmor。它應該比 SELinux 更容易實現。
- 國防部安全
您肯定想要一個 Web 應用程序防火牆。
- IPTables + Fail2Ban
將這兩種工具結合起來至少可以降低攻擊成功的機會。
- 可能更多,具體取決於您的應用程序的用途。
您的申請是否使用填寫表格?它管理數據庫嗎?使用者認證?
保護網站不是一件容易的事,我建議在公開任何內容之前先閱讀**大量**內容。