我做了我的研究,发现人们不确定chroot是否有助于安全。 我有这些问题没有答案。 如果是的话,chroot是否值得呢?可以在rhel 7上使用httpd 2.4吗?请分享任何资源或参考。 如果不是什么可以成为保护Web服务器的等效方法?
提前致谢。
以前已经讨论过了: 如何在CentOS上chroot Apache?
是的,可以chroot apache。 在apache 2.4你需要mod_unixd模块( https://httpd.apache.org/docs/2.4/mod/mod_unixd.html )。 这个页面解释了如何做: https : //www.howtoforge.com/tutorial/chrooting-apache-2.4-with-mod_unixd-on-debian-8-jessie/尽pipe它声称是Debian的指南,它应该仍然适用于RHEL,因为指南只是提到在apache 2.4中使用什么指令。
这就是说,我认为所感知的好处是不值得的。 这个古老的(2004年5月)文件讨论了chroot apache的优点/缺点。 文章中的一个关键词:
在chroot jail中安装Apache并不会使Apache本身更安全。 而是将Apache及其subprocess的访问限制在文件系统的一小部分。 根除一个过程的好处不在于防止破坏,而在于遏制潜在的威胁。
而且,正如前面提到的问题/答案所述,一个更好的方法是使用已经提供的RHEL:SELinux安全特性。 大多数pipe理员只需在安装时closures此function,这样他们就不必处理头痛问题。 不过,稍微学习一下这个强大的function,将会让更多的人头痛不已。