Я не хочу подвергать сомнению хорошо зарекомендовавшие себя меры безопасности по помещению apache в chroot-jail в большинстве сценариев, но в моем сценарии у меня есть сомнения.
У нас есть виртуальный сервер, на котором размещено одно приложение - веб-сервис. В этом руководстве сказано, что я должен отключить SELinux что мне кажется менее безопасным? Все для защиты работы установки Centos после взлома нашего приложения.
Очевидно, это немного субъективно, но при небольшом развертывании с ограниченными ресурсами есть ли лучшие подходы, на которых мы должны сосредоточиться?
Chroot обеспечивает небольшую безопасность, чтобы злоумышленник мог увеличить скорость. Если у вас есть уязвимость в apache / CGI, злоумышленник должен покинуть chroot-тюрьму. Автоматические атаки с меньшей вероятностью попытаются сделать это, но если существует известный эксплойт ядра и требования для этого эксплойта доступны в chrooted среде, вы попадаете под удар.
SELinux обеспечивает большую безопасность, но не стоит забывать о проблемах реализации. В простых случаях для вас могут быть заранее подготовленные политики SELinux, но если вы делаете странные / нестандартные вещи, вам нужно будет расширить их самостоятельно. Это не так уж сложно, если у вас загружены RPM-пакеты разработки selinux. Начните в режиме без принудительного применения, полностью проверьте свою систему, а затем запустите:
audit2allow -a -l -R -m foo -o foo.te
Это поможет вам разработать собственные политики.
Аналогичным шагом к SELinux является GRSecurity. Он менее стандартен, но, вероятно, немного более безопасен, чем SELinux, и, возможно, немного проще в использовании, хотя и менее случайные люди в Интернете могут вам помочь.
Другой подход - запустить веб-сервер на виртуальной машине. Это дает вам немного больше безопасности, но известно, что атаки могут проходить через среду виртуальных машин. Скорее всего, это будут очень решительные злоумышленники, а не обычный скрипач.
Я просто выкину там, что никогда не удосужился настроить apache в среде chroot. Если вы думаете, что chroot может не понадобиться, скорее всего, это не так.