chroot 足以实现安全隔离的文件系统访问吗?

chroot 足以实现安全隔离的文件系统访问吗?

我在单个 VPS 上运行多个 Web 应用程序,流量通过调度请求的代理(nginx)。

我想在各自的 chroot 环境中运行它们。当其中一个应用程序遭到黑客攻击时,它能否保护 VPS 免遭完全黑客攻击?

答案1

它提供了合理的文件系统隔离非根流程。然而,chroot 有几个限制。主要是root用户可以轻松逃离环境。最好使用提供 root 权限隔离的隔离环境,例如 FreeBSD 监狱、Linux 容器或 Docker。

如果黑客找到了一种方法来利用 Web 应用程序,允许他/她以 root 身份运行某些代码,则 chroot 仅提供黑客可能不知道他/她处于 chroot 环境中的保护。如果被发现,黑客可能会运行一些简单的代码来 chroot 进入您要保护的系统。对于上述其他技术来说,情况并非如此,根逃逸将被视为该技术中的漏洞而不是预期行为。

你的问题的答案归结为什么足够的考虑到所公开的特定服务和 Web 应用程序。

相关内容