chroot 환경보다 더 나은 대안이 있습니까? 감옥 환경에서 nginx를 실행할 생각입니다.
그런데 저는 OpenVZ VPS를 사용하고 있으므로 커널 수정은 옵션이 아닙니다.
(이렇게 하면 SELinux, AppArmor 등을 설치할 수 없게 될 것 같습니다.)
답변1
잊혀진신화Chroot가 보안 기능이 아닌 이유...통합되어 있습니다.보안 기능으로모든 규모와 스타일의 주요 앱에 액세스하세요몇 가지 이유
OpenVZ 자체는 기본적으로 Chroot on Steroids이며, 이것이 필요한 전부이거나 그럴 것입니다. Chroot 설정 표준과 일반적인 절차를 따르십시오.
일반적으로 NGinx에 추가 보안 계층을 제공하려면 Chroot를 사용하십시오. 이를 통해 주로 사용자 간의 개인 정보 보호를 제공하거나 잘못 코딩된 콘텐츠 관리 시스템을 통해 보안을 제공하려고 합니다.
몇 가지 작은 예를 들자면 이는 디렉터리 탐색 공격, 원격 파일 포함 오류 또는 기본 시스템에서의 애플리케이션 실행을 방지하는 데 도움이 됩니다. 또한 Chroot 디렉터리의 손상을 방지하여 알려진, 알려지지 않은 또는 미래의 NGinx 취약점을 방지하는 데 도움이 될 수 있습니다.
그러나 기본 시스템을 보호하고 운영 체제 저장소에서 사용 중인 NGinx 버전을 확인하고 이를 현재 NGinx에 사용할 수 있는 보안 권장 사항과 비교하십시오. 최신 안정 버전으로 컴파일하여 사용할 수 있습니다.
R-FX Networks에는 AppArmor 또는 SELinux를 사용하지 않고 실행 중인 데몬에 대한 특정 공격을 방지하는 데 도움이 되는 유용한 애플리케이션이 있습니다. 그것은 알려져있다SNIV.
Chroot가 오늘날에도 여전히 완전히 유효한 보안 도구인 이유에 대해 자세히 알아보세요.이 답변나는 최근에 이 상황을 더 자세히 설명했습니다.
답변2
OpenVZ VPS 내에서 Linux 컨테이너인 LXC를 사용합니다. 이것은 가능하다.