Назад | Перейти на главную страницу

Debootstrap chroot безопасен?

Я следил за этим руководством http://wiki.debian.org/chroot в Debian Squeeze AMD64, чтобы получить отдельную среду.

Этот chroot действительно безопасен? В других руководствах по chroot создать chroot для приложения действительно сложно, в этом учебнике кажется, что в chroot устанавливается небольшая отдельная система, включая диспетчер пакетов.

Моя цель - создать chroot для nginx + php5-fpm, чтобы укрепить сервер Linux. Это правильный путь?

Debootstrap предназначен для сборки и тестирования пакетов.
И я бы не стал рассматривать chroot функцию безопасности, начать с.

Если вашей целью является усиление защиты сервера, на котором размещается веб-сервер + веб-приложение, более подходящими являются другие меры, а именно:

  • выделенные отдельные разделы / LV с ограниченными возможностями монтирования:

Например, у меня DocumentRoot моего веб-сервера установлен на /srv/www, который представляет собой выделенный логический том, смонтированный с ограниченными параметрами

/dev/mapper/root_vg-srv_lv on /srv type ext4 (rw,nosuid,nodev,noexec,relatime,seclabel,quota,usrquota,grpquota,data=ordered,usrquota,grpquota)

соответствующие nodev, noexec, seclabel и *quota.
Все потому, что разработчики могут загружать контент через репозитории git hub / live, и я решил не доверять им в отношении безопасных разрешений, владения, маркировки SELinux и т. Д.

  • SELinux / AppArmor (второй, возможно, имеющий лучшую поддержку в Debian на данный момент)

К сожалению, SELinux не полностью функционирует в Debian (хотя squeeze поддерживается лучше, чем wheezy, IIRC). По этой причине я предлагаю AppArmor. Это должно быть проще реализовать, чем SELinux.

  • ModSecurity

Вам определенно нужен брандмауэр для веб-приложений.

  • IPTables + Fail2Ban

Сочетание этих двух инструментов может, по крайней мере, уменьшить шансы атаки на успех.

  • Возможно, намного больше, в зависимости от того, для чего предназначено ваше приложение.

В вашем заявлении используются формы для заполнения? он управляет базой данных? аутентификация пользователя?
Защита сайта - непростая задача, советую прочитать много прежде чем разоблачать что-либо в дикой природе.