我想知道什么是在应用程序和数据库服务器(JBoss,Tomcat,MySQL数据库)上保护Linux用户帐户的最佳解决scheme。假设我有用于运行JBossm的用户jboss和用于数据库的用户mysql。我使用RHELL 5.1,Suse 11 solaris.What我想要做的是基本上为每个用户创build一个沙箱,所以如果用户jboss将被打破,没有数据将被破坏等等..
我知道我可以使用SELinux,但我无法findRHEL的任何教程,这解释了限制用户的用户权限。
我也知道,chroot监狱可能是解决scheme,但我不知道JBoss应用服务器是否可以在chroot监狱运行,以及如何configuration它。
我能够使用的解决scheme是明确地限制每个用户对文件系统上的每个文件的访问,除了专用于他的文件(不好,我知道)
你提出的解决scheme:
Restrict access for each user to every file on filesystem except files dedicated to him 是chroot的相同想法。 chroot jail阻止进程访问系统文件,除了新根目录中的文件。
大多数stream程应该在chroot中完美运行,因为它们对于他们来说应该是不可见的,也就是说,他们只能“看到”chroot环境作为它们的根环境。