Один знакомый системный администратор посоветовал мне запустить Apache в chroot-окружении для повышения безопасности.
У меня есть следующие вопросы:
- Целесообразно ли это (т.е. есть ли какие-то тонкости, о которых мне нужно знать)?
- Влияет ли запуск Apache в chroot-окружении на такие его возможности, как производительность и масштабируемость?
Он также посоветовал мне запустить свои базы данных (mySQL и PostgreSQL) в отдельных chroot-окружениях.
Это то, что часто делается в производственных системах?
[Редактировать]
Забыл сказать, сервер работает на Ubuntu 8.04 LTS
решение1
Chrooting — это хорошая мера безопасности, она ограничивает возможности компрометации системы в случае успешного использования уязвимости, но в некоторых случаях существуют способы обойти chroot, поэтому это не окончательный способ защиты системы.
Я не знаю о каких-либо недостатках в отношении производительности и масштабируемости. Что касается доступа к базе данных, то он обычно осуществляется с помощью ссылки на сокет внутри chroot, таким образом, вам не нужно открывать сетевой порт для подключения к базе данных.
EDIT: ниже приведен пример доступа к mysql, взятый из OpenBSD rc.local (OpenBSD chrooted httpd)
if [ X"${mysql_server_flags-NO}" != X"NO" -a -x /usr/local/bin/mysqld_safe ]; then
rm -R /var/www/var/run/mysql
mkdir -p /var/www/var/run/mysql
chown _mysql:_mysql /var/www/var/run/mysql
echo -n 'MySQL server: '; /usr/local/bin/mysqld_safe --user=_mysql ${mysql_server_flags} &
sleep 10
ln -f /var/run/mysql/mysql.sock /var/www/var/run/mysql/mysql.sock
fi
Надеюсь это поможет.
решение2
У меня есть две программы, одна из них — apache httpd, взаимодействующие друг с другом через сокет домена unix. Я переключил их на работу под chroot, и тогда производительность упала на 10%. Думаю, это зависит от запущенных приложений. Раньше я не слышал о какой-либо потере производительности для Apache под chroot, так что, похоже, мое второе приложение потеряло производительность под chroot.