リクエストをスケジュールするプロキシ(nginx)を介してトラフィックが移動する単一のVPSで複数のWebアプリケーションを実行しています。
私はそれらを自分のchroot環境で実行したいと思います。アプリケーションの1つがハッキングされると、VPSは完全なハッキングから保護されますか?
ベストアンサー1
合理的なファイルシステム分離を提供します。ルートではないプロセス。しかし、chrootにはいくつかの制限があります。主に root ユーザーは簡単に環境を離れることができます。 FreeBSD Jail、Linuxコンテナ、Dockerなど、root権限の分離を提供する分離環境を使用するのが最善です。
ハッカーがいくつかのコードをrootとして実行できるWebアプリケーションを悪用する方法を見つけた場合、chrootはハッカーが自分がchroot環境にいるかどうかを知らないようにする保護を提供します。見つかったら、ハッカーはいくつかの簡単なコードを実行して、保護したいシステムにルートを設定できます。これは、上記の他の技術の場合には当てはまらず、ルートエスケープは予想される動作ではなく、その技術の脆弱性と見なされます。
あなたの質問に対する答えは何で要約されますか?十分公開される特定のサービスとWebアプリケーションを検討してください。