Я хотел бы знать, какое лучшее решение для защиты учетной записи пользователя linux на сервере приложений и баз данных (JBoss, Tomcat, база данных mysql). Допустим, у меня есть пользовательский jboss для запуска JBossm и пользовательский mysql для базы данных. Я использую RHELL 5.1, Suse 11 и solaris. То, что я хочу сделать, это просто создать песочницу для каждого пользователя, поэтому, если пользовательский jboss будет сломан, никакие данные не будут повреждены и так далее ..
Я знаю, что могу использовать SELinux, но не могу найти ни одного руководства по RHEL, в котором объяснялось бы ограничение прав пользователя для пользователя.
Я также знаю, что chroot jail может быть решением, но я не уверен, может ли сервер приложений JBoss работать в chroot jail и как его настроить.
Решение, которое я могу использовать, явно ограничивает доступ для каждого пользователя к каждому файлу в файловой системе, кроме файлов, выделенных ему (неприятно, я знаю)
Предлагаемое вами решение:
Restrict access for each user to every file on filesystem except files dedicated to him
это та же идея chroot. Chroot jail предотвращает доступ процесса к системным файлам, за исключением файлов внутри его нового корня.
Большинство процессов должны отлично работать внутри chroot, так как они должны быть невидимы для них - т.е. они «видят» только chroot-окружение как свою корневую среду.