Linux

debootstrap chroot 安全嗎?

  • April 14, 2013

我在 Debian Squeeze AMD64 上遵循了本教程http://wiki.debian.org/chroot,以獲得一個獨立的環境。

這個chroot真的安全嗎?在其他 chroot 教程中,為應用程序創建 chroot 非常困難,本教程顯示它在 chroot 中安裝了一個小的獨立系統,包括一個包管理器。

我的目標是為 nginx + php5-fpm 製作一個 chroot,以強化 linux 伺服器。那是正確的方法嗎?

Debootstrap 用於包建構和測試。

首先,我不會認為chroot 是一項安全功能

如果您的目標是強化託管 Web 伺服器 + Web 應用程序的伺服器,則其他措施更合適,即:

  • 具有受限安裝選項的專用分隔分區/LV:

例如,我將 Web 伺服器的 DocumentRoot 設置為/srv/www,這是一個安裝了限制選項的專用邏輯卷

/dev/mapper/root_vg-srv_lv on /srv type ext4 (rw,nosuid,nodev,noexec,relatime,seclabel,quota,usrquota,grpquota,data=ordered,usrquota,grpquota)

相關的是nodev, noexec, seclabel*quota

這一切都是因為開發人員可以通過 git hub/live 儲存庫上傳內容,而我選擇不信任他們的安全權限、所有權、SELinux 標籤等……

  • SELinux/AppArmor(第二個可能在 Debian 中得到更好的支持)

遺憾的是,SELinux 在 Debian 中的功能並不完整(儘管對 Squeeze 的支持比 wheezy、IIRC 更好)。出於這個原因,我建議使用 AppArmor。它應該比 SELinux 更容易實現。

  • 國防部安全

您肯定想要一個 Web 應用程序防火牆。

  • IPTables + Fail2Ban

將這兩種工具結合起來至少可以降低攻擊成功的機會。

  • 可能更多,具體取決於您的應用程序的用途。

您的申請是否使用填寫表格?它管理數據庫嗎?使用者認證?

保護網站不是一件容易的事,我建議公開任何內容之前先閱讀**大量**內容。

引用自:https://serverfault.com/questions/499240