Ho letto opinioni estremamente contrastanti sul processo di chroot per un server web (ambiente non condiviso). Alcuni lo giurano, altri ancora dicono che non è sicuro come dicono tutti.
Dato che il chroot può essere difficile e dispendioso in termini di tempo per implementare e mantenere, su un server non condiviso fai parte di Chroot? Perché / Perché no?
Se lo fai, usi un modulo come mod_security?
Se non lo fai, fai qualcos'altro al server che raggiunge lo stesso obiettivo?
Non sono d'accordo con l'idea che il chroot sia difficile - non è appropriato per tutto. Per un ambiente di piccole dimensioni, con un server che ospita più di un ambiente Web, chroot è estremamente potente e fornisce controlli sulla separazione e sulla prevenzione dell'escalation. Gestirlo non è un enorme problema di risorse.
Se si dispone di un ambiente su scala aziendale è probabile che sia meno probabile l'uso di chroot (poiché diventa ingombrante in un ambiente di grandi dimensioni), ma è probabile che si disponga di controlli alternativi che possono includere il monitoraggio approfondito, IDS / IPS, a strati firewall e SIEM.
Vorrei class mod_security come essenziale (per i web server che lo hanno o funzionalità equivalente) - è un ulteriore livello di difesa che è semplice da implementare, e per la maggior parte dei casi d'uso non causa un impatto significativo.
chroot e mod_security - così come i firewall ecc. sono tutti solo livelli di sicurezza che possono aiutare a prevenire un attacco o almeno rallentarlo, aumentando così la probabilità che lo individuate prima che causi troppi danni (presumendo che anche tu sia monitoraggio ... un altro controllo)
Leggi altre domande sui tag linux webserver mod-security