如果将 OpenBSD 用作静态 HTTPD 服务器,如何对其进行分区?

如果将 OpenBSD 用作静态 HTTPD 服务器,如何对其进行分区?

因此挂载选项很有用,因为据我所知,它可以提高仅提供静态 html 文件的 Web 服务器的安全性。

仅用于静态 HTTPD 服务器的 z OpenBSD 5.2 的最佳安装选项/分区方案是什么?

答案1

如果您关心安全性,请记住 OpenBSD 中的 httpd 是默认情况下已chroot,这意味着如果您的 Web 服务器受到潜在威胁,攻击者将停留在您的 Web 服务器的 chroot 监狱中,与系统的其他部分隔离,从而最大限度地减少漏洞的影响。

就挂载选项而言,您可以挂载预计不会执行二进制文件的分区不执行(例如,用户 /home 目录)。您还可以考虑启用诺苏伊德诺德夫安装选项(如果适用)。检查手册页以获取更多信息。

您还可以使用受限外壳例如rbash与守护进程的 chroot 监禁结合起来。

相关内容