Я следил за этим руководством http://wiki.debian.org/chroot в Debian Squeeze AMD64, чтобы получить отдельную среду.
Этот chroot действительно безопасен? В других руководствах по chroot создать chroot для приложения действительно сложно, в этом учебнике кажется, что в chroot устанавливается небольшая отдельная система, включая диспетчер пакетов.
Моя цель - создать chroot для nginx + php5-fpm, чтобы укрепить сервер Linux. Это правильный путь?
Debootstrap предназначен для сборки и тестирования пакетов.
И я бы не стал рассматривать chroot функцию безопасности, начать с.
Если вашей целью является усиление защиты сервера, на котором размещается веб-сервер + веб-приложение, более подходящими являются другие меры, а именно:
Например, у меня DocumentRoot моего веб-сервера установлен на /srv/www
, который представляет собой выделенный логический том, смонтированный с ограниченными параметрами
/dev/mapper/root_vg-srv_lv on /srv type ext4 (rw,nosuid,nodev,noexec,relatime,seclabel,quota,usrquota,grpquota,data=ordered,usrquota,grpquota)
соответствующие nodev, noexec, seclabel
и *quota
.
Все потому, что разработчики могут загружать контент через репозитории git hub / live, и я решил не доверять им в отношении безопасных разрешений, владения, маркировки SELinux и т. Д.
К сожалению, SELinux не полностью функционирует в Debian (хотя squeeze поддерживается лучше, чем wheezy, IIRC). По этой причине я предлагаю AppArmor. Это должно быть проще реализовать, чем SELinux.
Вам определенно нужен брандмауэр для веб-приложений.
Сочетание этих двух инструментов может, по крайней мере, уменьшить шансы атаки на успех.
В вашем заявлении используются формы для заполнения? он управляет базой данных? аутентификация пользователя?
Защита сайта - непростая задача, советую прочитать много прежде чем разоблачать что-либо в дикой природе.