chroot環境より良い選択肢がありますか?刑務所環境でnginxを実行するつもりです。
しかし、私はOpenVZ VPSを使用しているので、カーネルの変更はオプションではありません。
(これを行うとSELinux、AppArmorなどをインストールできなくなりそうです。)
ベストアンサー1
忘れられた神話Chrootがセキュリティ機能ではない理由...統合されています。セキュリティ機能としてあらゆる規模とスタイルの主要アプリにアクセスいくつかの理由
OpenVZ自体は基本的にChroot on Steroidsであり、これが必要なすべてであるか、そうです。 Chroot 設定標準と一般的な手順に従ってください。
通常、NGinxに追加のセキュリティ層を提供するには、Chrootを使用します。これにより、主にユーザー間のプライバシーを提供したり、誤ってコード化されたコンテンツ管理システムを通じてセキュリティを提供したりします。
いくつかの小さな例は、ディレクトリナビゲーション攻撃、リモートファイルインクルードエラー、または基本システムでのアプリケーションの実行を防ぐのに役立ちます。また、Chrootディレクトリの破損を防ぐことで、既知の、未知の、または将来のNGinxの脆弱性を防ぐのに役立ちます。
ただし、プライマリシステムを保護し、オペレーティングシステムリポジトリで使用されているNGinxのバージョンを確認し、現在のNGinxで利用可能なセキュリティ推奨事項と比較してください。最新の安定版にコンパイルして使用できます。
R-FX Networksには、AppArmorやSELinuxを使用せずに実行中のデーモンに対する特定の攻撃を防ぐのに役立つ便利なアプリケーションがあります。知られているSNIV。
Chrootが今日でも完全に有効なセキュリティツールである理由の詳細をご覧ください。この回答私は最近この状況をより詳しく説明しました。