KVM 서버에 몇 가지 서비스만 포함하여 FreeBSD 10 서버를 설정하고 있습니다.
PHP-FPM을 사용하는 NGINX 웹 서버
도메인 2개, 하위 도메인 3개
메일 서버
3 이메일 주소
MySQL(또는 기타) 데이터베이스 서버(필요한 경우) 이 서버는 나만 관리합니다. sudo 액세스 권한이 있는 하나의 SSH 계정과 주로 SFTP 작업을 위한 제한 사항이 있는 두 번째 계정이 있습니다.
ZFS(암호화된 루트)로 모든 것을 설정했으며 이제 감옥을 사용해야 하는지/필요한지 고려하고 있습니다.
루트 볼륨 대신 감옥을 암호화하는 것이 더 합리적인지 확실하지 않지만 어떻게 해야 할지 모르겠습니다.
교도소의 보안상의 이점이 논쟁의 여지가 있다는 글을 읽었을 때 전체 시스템에 복잡성을 추가한다고 해서 얻을 수 있는 것이 있을지 확신할 수 없습니다.
답변1
그것은 정말로 당신에게 달려 있습니다.
감옥을 설정하면 감옥 간에 발생하는 보안 문제를 분리할 수 있고, 감옥을 더 쉽게 업그레이드하고 독립적으로 관리할 수 있어 안정성이 높아진다는 이점이 있습니다.
물론 감옥을 세우는 것의 단점은 배워야 한다는 것과 약간의 관리 오버헤드 등이 있다는 것입니다.
개인적으로 저는 아마도 프런트엔드 nginx 리버스 프록시를 위한 Jail을 설정한 다음 각 웹 애플리케이션에 대해 별도의 웹 서버 Jail을 설정할 것입니다. 이렇게 하면 한 웹 애플리케이션의 문제가 다른 애플리케이션에 영향을 주지 않습니다. 마찬가지로 메일 서버에는 MySQL과 마찬가지로 자체 감옥이 있습니다.
ezjail을 확인해 보세요. 감옥 설정이 더 쉬워질 것입니다.