我正在设置 FreeBSD 10 服务器,仅在 KVM 服务器上提供一些服务:
使用 PHP-FPM 的 NGINX 网络服务器
2个域,3个子域
邮件服务器
3 电子邮件地址
MySQL(或其他)数据库服务器(如果需要) 该服务器将仅由我管理。一个具有 sudo 访问权限的 SSH 帐户,随后是第二个具有限制的帐户,主要用于 SFTP 操作。
我用 ZFS(加密根)设置了一切,现在正在考虑是否应该/需要使用监狱。
我也不确定加密监狱而不是根卷是否更有意义,尽管我不知道如何做到这一点。
当我读到监狱的安全收益可以争论时,我不确定我是否会因为整个系统的复杂性增加而获得任何好处。
答案1
这真的取决于你。
设置监狱的好处是,您可以将监狱之间出现的安全问题分开,并且可以更轻松地单独升级和管理它们,从而提高可靠性。
当然,设置监狱的缺点是你必须学习它,这是一些管理开销等等。
就我个人而言,我可能会在一个监狱中为前端 nginx 反向代理设置一个监狱,然后为每个 Web 应用程序设置一个单独的 Web 服务器监狱。这样,一个网络应用程序的问题就不会影响其他应用程序。类似地,邮件服务器将拥有自己的监狱,MySQL 也是如此。
看看 ezjail,它会让设置监狱变得更容易。