저는 중앙 GNU/Linux 서버를 사용하는 대규모 그룹(학부)의 구성원입니다. instiki와 같은 웹 앱을 설치하고, 버전 관리 저장소를 실행하고, 웹을 통해 콘텐츠를 제공하고 싶습니다. 그러나 관리자는 보안 문제로 인해 이를 허용하지 않습니다. 내가 해킹당할 경우를 대비해 서버를 보호하기 위해 샌드박스를 사용할 수 있는 방법이 있나요? 이와 같은 문제에 대한 표준 솔루션은 무엇입니까?
답변1
이에 대한 표준 솔루션은 다음과 같습니다.가상화. 특정 구성을 포함하는 가상 머신을 만든 다음 이를 일부 서버에서 호스팅합니다.
가상화에는 여러 가지 수준이 있습니다. XEN HVM 및 Linux KVM은 게스트 운영 체제의 수정되지 않은 인스턴스를 실행할 수 있는 하이퍼바이저의 예입니다. 각 인스턴스에는 자체 메모리가 할당되며 컴퓨터의 나머지 리소스는 공유될 수 있습니다.
LXC, OpenVZ 및 Linux-VServer는 chroot 기반 샌드박싱 접근 방식을 확장한 보다 가벼운 버전입니다. 이러한 경우의 이점은 모든 인스턴스가 머신의 전체 리소스에 액세스할 수 있지만(허용되는 경우) 모든 인스턴스가 적절하게 확장된 공통 커널을 공유한다는 것입니다. 이 경우에도 Debian 서버에서 다른 Linux 배포 인스턴스가 실행될 수 있습니다.
위의 모든 가상 머신 인스턴스에서 NFS에 연결할 수 있습니다.