我想知道在应用程序和数据库服务器(JBoss、Tomcat、mysql 数据库)上保护 Linux 用户帐户的最佳解决方案是什么。假设我有用户 jboss 用于运行 JBossm,还有用户 mysql 用于数据库。我使用 RHELL 5.1、Suse 11 和 solaris。我想要做的基本上是为每个用户创建一个沙箱,所以如果用户 jboss 被破坏,数据也不会被损坏等等。
我知道我可以使用 SELinux,但我找不到任何 RHEL 教程来解释如何限制用户的用户权限。
我也知道 chroot jail 可能是解决方案,但我不确定 JBoss 应用程序服务器是否可以在 chroot jail 中运行以及如何配置它。
我能够使用的解决方案是明确限制每个用户对文件系统上除他专用的文件之外的每个文件的访问(我知道这并不好)
答案1
您提出的解决方案:
Restrict access for each user to every file on filesystem except files dedicated to him
和 chroot 的理念是一样的。chroot jail 阻止进程访问除其新根目录内的文件之外的系统文件。
答案2
大多数进程应该可以在 chroot 中完美运行,因为它对它们来说是不可见的 - 即它们只能“看到”chroot 的环境作为它们的根环境。