У меня есть довольно хорошее представление о том, как это сделать, я просто хотел убедиться, что не собираюсь серьезно облажаться, прежде чем разверну его. У меня есть веб-приложение, которое использует uwsgi и nginx, и я хотел привязать приложение к определенному каталогу. Я планировал перенести и nginx, и uwsgi в один и тот же каталог. Теперь я знаю, как это сделать, но будет ли это все, что мне нужно сделать, чтобы сделать его безопасным (с точки зрения заключения в тюрьму), или мне еще что-нибудь нужно сделать? В качестве альтернативы, не требуется ли chroot для одного из них? то есть, я должен просто chroot uwsgi или nginx и оставить другой в покое?
chroot - хорошее начало для защиты вашего веб-сервера, но он работает правильно только тогда, когда uwsgi работает / настроен правильно.
Если вы действительно ищете безопасную среду, вы также можете настроить selinux / apparmour, чтобы ограничить доступ к вашему веб-серверу. Таким образом, даже если ваш веб-сервер скомпрометирован и / или неправильно настроен, ущерб будет ограничен только возможностью получить доступ к тому, к чему веб-сервер имел доступ.
Вы все еще не в безопасности в самом строгом смысле этого слова. Другие вещи, которые вам могут быть интересны, это такие вещи, как какой пользователь работает веб-сервер, какие разрешения имеет веб-сервер, какие разрешения вы разрешаете приложениям, которые запускает ваш веб-сервер, как применяются обновления, какие еще процессы бег и так далее.
Когда вы освоитесь со всеми этими вещами, вы сможете больше изучить аспекты социальной инженерии, например, безопасны ли ваши пароли, как насчет пользователей, использующих вашу систему, защищаете ли вы данные на своем веб-сервере или с него.
Короче говоря, вы, вероятно, никогда не сможете сделать достаточно, чтобы сделать что-то безопасное, в зависимости от вашего определения безопасности, но chroot, вероятно, подходит для того, что вы делаете.