it-swarm-korea.com

웹 서버에서 CHROOT의 상대적 중요성

웹 서버 (비공유 환경)의 chrooting 프로세스에 대해 매우 혼합 된 의견을 읽었습니다. 어떤 사람들은 맹세하지만 다른 사람들은 모든 사람이 말하는 것처럼 안전하지 않다고 말합니다.

Chrooting이 구현 및 유지 관리에 어렵고 시간이 많이 소요될 수 있다는 점을 감안할 때 비공유 서버에서 Chroot를 사용합니까? 왜 왜 안돼?

그렇다면 mod_security와 같은 모듈을 사용합니까?

그렇지 않은 경우 동일한 목표를 달성하는 서버에 다른 조치를 취합니까?

11
freb

나는 chroot가 어렵다는 생각에 동의하지 않습니다. 모든 것에 적합하지 않습니다. 둘 이상의 웹 환경을 호스팅하는 서버가있는 소규모 환경의 경우 chroot는 매우 강력하며 분리 및 에스컬레이션 방지에 대한 제어를 제공합니다. 그것을 관리하는 것은 큰 자원 문제가 아닙니다.

엔터프라이즈 규모 환경이있는 경우 chroot (대규모 환경에서는 다루기 어려워 짐)를 사용할 가능성이 적지 만 심층 모니터링, IDS/IPS, 계층화 된 방화벽 및 SIEM을 포함 할 수있는 대체 제어가있을 수 있습니다. .

나는 mod_security를 ​​필수 (그것 또는 동등한 기능을 가진 웹 서버의 경우)로 분류 할 것입니다. 이것은 구현하기 쉬운 추가 방어 계층이며 대부분의 사용 사례에서 큰 영향을주지 않습니다.

chroot 및 mod_security-방화벽 등은 모두 공격을 방지하거나 적어도 속도를 늦추는 데 도움이 될 수있는 보안 계층 ​​일 뿐이므로 너무 많은 손상을 입히기 전에 발견 할 가능성이 높아집니다 (모니터링 중이라고 가정). .another control)

8
Rory Alsop