O chroot é suficiente para obter acesso seguro a sistemas de arquivos isolados?

3

Estou executando vários aplicativos da Web em um único VPS, o tráfego passa por um proxy (nginx) que envia solicitações.

Eu penso em executar cada um deles em seu próprio ambiente chrooted. Protegeria o VPS de ser completamente invadido, quando um dos aplicativos é hackeado?

    
por kravemir 10.09.2016 / 08:52

1 resposta

2

Ele fornece isolamento razoável do sistema de arquivos para processos não-raiz . No entanto, o chroot tem várias limitações. Principalmente, o usuário root pode facilmente escapar do ambiente. Seria melhor usar um ambiente isolado que fornecesse isolamento de privilégios de root, como jails do FreeBSD, containers Linux ou Docker.

Se um hacker descobrir uma maneira de explorar o aplicativo da Web de uma forma que permita que ele execute algum código como root, o chroot fornece apenas a proteção que o hacker pode não saber que ele está em um ambiente chroot. Se descoberto, o hacker pode executar algum código trivial para fazer o chroot no sistema que você está tentando proteger. Este não é tanto o caso com as outras tecnologias mencionadas acima, onde um escape de raiz seria considerado uma vulnerabilidade naquela tecnologia em vez do comportamento esperado.

A resposta à sua pergunta se resume ao que é suficiente para você, considerando os serviços específicos e os aplicativos da Web expostos.

    
por 11.09.2016 / 00:45