Fui aconselhado por um administrador de sistemas que conheço a executar o Apache em uma prisão chroot, para aumentar a segurança.
Tenho as seguintes perguntas:
- Isso é aconselhável (ou seja, há alguma pegadinha da qual eu preciso estar ciente)?
- A execução do Apache em uma prisão chroot afeta seus problemas de capacidade, como desempenho e escalabilidade?
Ele também aconselhou que eu executasse meus bancos de dados (mySQL e PostgreSQL), em chroot jails separados.
Isso é algo que costuma ser feito em sistemas de produção
[Editar]
Esqueci de dizer que o servidor está rodando no Ubuntu 8.04 LTS
Responder1
O chroot é uma boa medida de segurança, pois limita as possibilidades de comprometer o sistema no caso de uma exploração bem-sucedida, mas também existem maneiras, em alguns casos, de escapar de um chroot, portanto não é uma forma definitiva de proteger o sistema.
Não estou ciente de nenhuma desvantagem em relação ao desempenho e escalabilidade. Quanto ao acesso ao banco de dados, geralmente é feito com um link para o soquete dentro do chroot, desta forma você não precisa abrir nenhuma porta de rede para conectividade do banco de dados.
EDIT: abaixo está um exemplo de acesso mysql retirado de um OpenBSD rc.local (OpenBSD chrooted httpd)
if [ X"${mysql_server_flags-NO}" != X"NO" -a -x /usr/local/bin/mysqld_safe ]; then
rm -R /var/www/var/run/mysql
mkdir -p /var/www/var/run/mysql
chown _mysql:_mysql /var/www/var/run/mysql
echo -n 'MySQL server: '; /usr/local/bin/mysqld_safe --user=_mysql ${mysql_server_flags} &
sleep 10
ln -f /var/run/mysql/mysql.sock /var/www/var/run/mysql/mysql.sock
fi
Espero que isto ajude.
Responder2
Eu tenho dois programas, um deles é o apache httpd, comunicando-se via soquete de domínio unix. Eu os mudei para rodar em chroot e, em seguida,% de perda de desempenho. Depende dos aplicativos em execução, eu acho. Eu não ouvi nenhuma perda de desempenho do Apache no chroot antes, então parece que meu segundo aplicativo perdeu desempenho no chroot.