Назад | Перейти на главную страницу

Chroot для Mysql, работающего на Ubuntu 10.10?

В ответ на вопрос о передовых методах обеспечения безопасности сервера MySQL я просмотрел этот список (с небольшими изменениями), чтобы должным образом защитить сервер базы данных моего сервера:

http://www.greensql.net/publications/mysql-security-best-practices

На шаге 10 мне сказали изменить корневой каталог для пользователя mysql с помощью chroot, но здесь очень мало подробностей, и я не уверен, с чего начать. Кто-нибудь знает хороший ресурс, который объяснит мне, как правильно создать chrooted-среду для Ubuntu 10.10?

Я предполагаю, что автор этого руководства имел "Chroot jail" как маркер в своей схеме, но затем уклонился от предоставления полных деталей, когда стало ясно, что заставить MySQL правильно работать в chroot jail - это не банально.

По сути, заключение любого демона в тюрьму с помощью chroot включает в себя настройку среды, в которой демон будет находить все необходимые ему ресурсы файловой системы внутри тюрьмы, и это может включать такие вещи, как / etc / {passwd, group}, / usr / {bin, lib} /, / var / {log, run, lib} / и так далее. У каждого демона свои особые потребности, поэтому, к сожалению, не существует универсального руководства по chroot.

Если вы действительно серьезно относитесь к тюрьме MySQL с помощью chroot, я нашел Рецепт, специфичный для Debian / Ubuntu который, как утверждает по крайней мере один комментатор, работает для последних версий, таких как Debian Lenny и MySQL 5.

В chroot для работы MySQL вам, по сути, придется воссоздать отдельный дистрибутив Linux.

Я помещаю свои базы данных (MySQL и PostreSQL) в контейнеры OpenVZ - это chroot, но не только. Он предоставляет другие функции, которые не предоставляет chroot: управление ресурсами, изоляция сети и многое другое. Главный плюс в том, что он делает все за меня - я просто выберите шаблон для контейнера запустите vzctl create 101 --ostemplate ubuntu-10.10-x86_64 и у меня готов контейнер (рабочий chroot ++).

Чтобы запустить контейнер в производство, мне нужно настроить локальный или общедоступный IP-адрес и увеличить ограничения ресурсов по умолчанию.

Чтобы получить OpenVZ, необходимо установить и перезагрузить ядро ​​с исправлениями OpenVZ, которое доступно во многих основных дистрибутивах Linux, но, к сожалению, OpenVZ больше не поддерживается как официальный пакет Ubuntu. Он поддерживается в Debian и будет в Debian 6.0.