在Linux上用沙箱保护Apache的最佳方法
我在一个面向公众的Debian服务器上运行Apache,我有点担心安装的安全性。这是一台托管了几个业余爱好项目的机器,所以我们使用这台机器的人都没有时间不断地关注上游补丁,意识到安全问题等。但我希望把坏人挡在外面,或者如果他们进来了,就把他们放在沙箱里。
那么什么是最好的,易于设置,易于维护的解决方案呢?在Debian上设置一个用户模式的linux沙箱容易吗?或者是chroot监狱?我想从外部轻松访问sadbox中的文件。在这种情况下,我非常清楚自己是一个程序员,而不是系统管理员。任何帮助都将不胜感激!
回答 9
Stack Overflow用户
发布于 2008-09-28 09:24:33
当您运行一个完整的沙箱环境时,Chroot jails可能会非常不安全。攻击者可以完全访问内核功能,例如可以安装驱动器来访问“主机”系统。
我建议您使用linux-vserver。您可以将linux-vserver看作是一个改进的chroot监狱,其中包含完整的debian安装。它真的很快,因为它在一个单一的内核中运行,并且所有代码都是本机执行的。
我个人使用linux-vserver来分离我的所有服务,性能差异很小。
请查看linux-vserver wiki中的安装说明。
问候你,丹尼斯
Stack Overflow用户
发布于 2008-09-28 09:18:04
您可以随时在虚拟机中设置它,并保留它的映像,以便在需要时重新滚动它。这样,服务器就会从你的实际计算机中抽象出来,而任何病毒都会被包含在虚拟机中。正如我之前所说的,如果您保留一个映像作为备份,您可以很容易地恢复到以前的状态。
Stack Overflow用户
发布于 2008-09-28 09:40:43
为了确保这一点,CHRoot监狱很少是一个好主意,尽管它是故意的,很容易越狱,事实上我已经看到用户意外地做了它!
https://stackoverflow.com/questions/145540
复制相似问题
腾讯云开发者
