KVMサーバーにはいくつかのサービスのみを含むFreeBSD 10サーバーを設定しています。
PHP-FPMを使用したNGINX Webサーバー
2つのドメイン、3つのサブドメイン
メールサーバー
3 メールアドレス
MySQL(または他の)データベースサーバー(必要な場合)このサーバーは自分だけを管理します。 sudoアクセス権を持つ1つのSSHアカウントと、主にSFTP操作の制限がある2番目のアカウントがあります。
ZFS(暗号化されたルート)ですべてを設定し、今刑務所を使用する必要があるかどうかを検討しています。
ルートボリュームの代わりに刑務所を暗号化する方が合理的であるかどうかはわかりませんが、どうすればよいかわかりません。
刑務所のセキュリティ上の利点が議論の余地があるという記事を読んだとき、システム全体に複雑さを追加することによって達成できるものがあるかどうかはわかりません。
ベストアンサー1
それは本当にあなた次第です。
刑務所を設定すると、刑務所間で発生するセキュリティ問題を分離することができ、刑務所をより簡単にアップグレードして独立して管理することができ、信頼性が向上するという利点があります。
もちろん、刑務所を建てることの欠点は、学ばなければならないということと、若干の管理オーバーヘッドなどがあるということです。
個人的には、おそらくフロントエンドnginxリバースプロキシ用のJailを設定し、Webアプリケーションごとに別々のWebサーバーJailを設定します。これにより、あるWebアプリケーションの問題が他のアプリケーションに影響を与えません。同様に、メールサーバーにはMySQLと同様に独自の刑務所があります。
ezjailをチェックしてください。刑務所の設定が簡単になります。