GNU/Linux >> Znalost Linux >  >> Linux

Nejlepší způsob, jak sandboxovat Apache na Linuxu

Chroot vězení může být opravdu nejisté, když provozujete kompletní prostředí sandbox. Útočníci mají úplný přístup k funkcím jádra a mohou například připojit jednotky pro přístup k "hostitelskému" systému.

Navrhoval bych, abyste použili linux-vserver. Můžete vidět linux-vserver jako vylepšený chroot jail s kompletní instalací debianu uvnitř. Je opravdu rychlý, protože běží v rámci jednoho jádra a veškerý kód se spouští nativně.

Osobně používám linux-vserver pro oddělení všech svých služeb a rozdíly ve výkonu jsou jen stěží znatelné.

Podívejte se na linux-vserver wiki pro pokyny k instalaci.

s pozdravem Dennis


Souhlasím s tím, co říká xardias, ale místo toho doporučuji OpenVZ.

Je to podobné jako Linux-Vserver, takže možná budete chtít tyto dva porovnat, když půjdete touto cestou.

Nastavil jsem webový server s proxy http serverem (nginx), který pak deleguje provoz na různé kontejnery OpenVZ (na základě názvu hostitele nebo požadované cesty). Uvnitř každého kontejneru můžete nastavit Apache nebo jakýkoli jiný webový server (např. nginx, lighttpd, ..). Tímto způsobem nemáte jeden Apache pro všechno, ale můžete vytvořit kontejner pro jakoukoli podmnožinu služeb (např. na projekt).

Kontejnery OpenVZ lze celkem snadno aktualizovat ("for i v $(vzlist); do vzctl exec apt-get upgrade; done")

Soubory různých kontejnerů jsou uloženy v hardwarovém uzlu, a proto k nim můžete poměrně snadno přistupovat pomocí SFTP připojení do hardwarového uzlu. Kromě toho mohli přidejte veřejnou IP adresu do některých svých kontejnerů, nainstalujte tam SSH a poté k nim přistupujte přímo z kontejneru. Dokonce jsem slyšel od SSH proxy, takže další veřejná IP adresa může být i v tomto případě zbytečná.


Vždy jej můžete nastavit ve virtuálním počítači a ponechat si jeho obraz, takže jej můžete v případě potřeby znovu přetočit. Tímto způsobem je server abstrahován od vašeho skutečného počítače a všechny viry nebo tak dále jsou obsaženy uvnitř virtuálního počítače. Jak jsem řekl dříve, pokud si ponecháte obraz jako zálohu, můžete jej obnovit do předchozího stavu docela snadno.


Linux
  1. souběžný přístup k souboru linux

  2. Nejlepší způsob, jak rozšířit software Linux z RAID 1 na RAID 10

  3. Nejlepší způsob, jak zakázat swap v Linuxu

  1. Linux File Access Monitoring?

  2. Linux – Blokovat síťový přístup procesu?

  3. Máme v Linuxu možnost vrátit zpět?

  1. Jaký je nejlepší způsob distribuce binární aplikace pro Linux?

  2. Nejlepší způsob, jak získat ID stroje v Linuxu?

  3. Nejlepší způsob, jak získat rychlý přístup k často používaným adresářům v linuxovém terminálu