安全に隔離されたファイルシステムアクセスを達成するのに十分なchrootですか?

安全に隔離されたファイルシステムアクセスを達成するのに十分なchrootですか?

リクエストをスケジュールするプロキシ(nginx)を介してトラフィックが移動する単一のVPSで複数のWebアプリケーションを実行しています。

私はそれらを自分のchroot環境で実行したいと思います。アプリケーションの1つがハッキングされると、VPSは完全なハッキングから保護されますか?

答え1

合理的なファイルシステム分離を提供します。ルートではないプロセス。しかし、chrootにはいくつかの制限があります。主に root ユーザーは簡単に環境を離れることができます。 FreeBSD Jail、Linuxコンテナ、Dockerなど、root権限の分離を提供する分離環境を使用するのが最善です。

ハッカーがいくつかのコードをrootとして実行できるWebアプリケーションを悪用する方法を見つけた場合、chrootはハッカーが自分がchroot環境にいるかどうかを知らないようにする保護を提供します。見つかったら、ハッカーはいくつかの簡単なコードを実行して、保護したいシステムにルートを設定できます。これは、上記の他の技術の場合には当てはまらず、ルートエスケープは予想される動作ではなく、その技術の脆弱性と見なされます。

あなたの質問に対する答えは何で要約されますか?十分公開される特定のサービスとWebアプリケーションを検討してください。

関連情報