我已经阅读了关于 web 服务器(非共享环境)的 chrooting 过程的非常复杂的意见。有些人发誓,但其他人说它并不像每个人所说的那样安全。
鉴于 chroot 的实施和维护可能既困难又耗时,那么在非共享服务器上您会 Chroot 吗?为什么/为什么不?
如果这样做,您是否使用诸如 mod_security 之类的模块?
如果不这样做,您是否对实现相同目标的服务器执行其他任何操作?
CHROOT 对 web 服务器的相对重要性
信息安全
网络服务器
linux
国防部安全
2021-08-25 23:17:58
1个回答
我不同意 chroot 很难的想法——它只是不适合所有事情。对于一个服务器托管多个 Web 环境的小型环境,chroot 非常强大,并提供围绕隔离和升级预防的控制。管理它不是一个巨大的资源问题。
如果您有企业级环境,您可能不太可能使用 chroot(因为它在大型环境中确实变得笨拙),但您可能有替代控制,其中可能包括深度监控、IDS/IPS、分层防火墙和 SIEM .
我会将 mod_security 归类为必不可少的(对于具有它或等效功能的网络服务器)-它是一个额外的防御层,易于实现,并且对于大多数用例而言,它不会造成重大影响。
chroot 和 mod_security - 以及防火墙等都只是安全层,这可能有助于防止攻击或至少减慢攻击,从而提高您在它造成太大损害之前发现它的可能性(假设您也在监视.. .另一个控件)
其它你可能感兴趣的问题