Importanza relativa di CHROOT per i server web

11

Ho letto opinioni estremamente contrastanti sul processo di chroot per un server web (ambiente non condiviso). Alcuni lo giurano, altri ancora dicono che non è sicuro come dicono tutti.

Dato che il chroot può essere difficile e dispendioso in termini di tempo per implementare e mantenere, su un server non condiviso fai parte di Chroot? Perché / Perché no?

Se lo fai, usi un modulo come mod_security?

Se non lo fai, fai qualcos'altro al server che raggiunge lo stesso obiettivo?

    
posta freb 22.01.2011 - 00:31
fonte

1 risposta

8

Non sono d'accordo con l'idea che il chroot sia difficile - non è appropriato per tutto. Per un ambiente di piccole dimensioni, con un server che ospita più di un ambiente Web, chroot è estremamente potente e fornisce controlli sulla separazione e sulla prevenzione dell'escalation. Gestirlo non è un enorme problema di risorse.

Se si dispone di un ambiente su scala aziendale è probabile che sia meno probabile l'uso di chroot (poiché diventa ingombrante in un ambiente di grandi dimensioni), ma è probabile che si disponga di controlli alternativi che possono includere il monitoraggio approfondito, IDS / IPS, a strati firewall e SIEM.

Vorrei class mod_security come essenziale (per i web server che lo hanno o funzionalità equivalente) - è un ulteriore livello di difesa che è semplice da implementare, e per la maggior parte dei casi d'uso non causa un impatto significativo.

chroot e mod_security - così come i firewall ecc. sono tutti solo livelli di sicurezza che possono aiutare a prevenire un attacco o almeno rallentarlo, aumentando così la probabilità che lo individuate prima che causi troppi danni (presumendo che anche tu sia monitoraggio ... un altro controllo)

    
risposta data 22.01.2011 - 01:26
fonte

Leggi altre domande sui tag