요청을 예약하는 프록시(nginx)를 통해 트래픽이 이동하는 단일 VPS에서 여러 웹 애플리케이션을 실행하고 있습니다.
나는 그들을 자신의 chroot 환경에서 실행하고 싶습니다. 애플리케이션 중 하나가 해킹되면 VPS가 완전한 해킹으로부터 보호됩니까?
답변1
합리적인 파일 시스템 격리를 제공합니다.루트가 아닌프로세스. 그러나 chroot에는 몇 가지 제한 사항이 있습니다. 주로 루트 사용자는 쉽게 환경을 벗어날 수 있습니다. FreeBSD Jail, Linux 컨테이너 또는 Docker와 같이 루트 권한 격리를 제공하는 격리 환경을 사용하는 것이 가장 좋습니다.
해커가 일부 코드를 루트로 실행할 수 있는 웹 응용 프로그램을 악용하는 방법을 찾은 경우 chroot는 해커가 자신이 chroot 환경에 있는지 알 수 없도록 하는 보호 기능만 제공합니다. 발견되면 해커는 몇 가지 간단한 코드를 실행하여 보호하려는 시스템에 루트를 설정할 수 있습니다. 이는 위에서 언급한 다른 기술의 경우에는 해당되지 않으며 루트 이스케이프는 예상되는 동작보다는 해당 기술의 취약점으로 간주됩니다.
귀하의 질문에 대한 답변은 무엇으로 요약됩니까?충분한노출되는 특정 서비스 및 웹 애플리케이션을 고려하십시오.