web-dev-qa-db-ja.com

FreeBSD 10:刑務所は必要ですか?

KVMサーバー:)にいくつかのサービスを備えたFreeBSD10サーバーをセットアップしているところです。

  • NGINXウェブサーバーwPHP-FPM

    2つのドメイン、3つのサブドメイン

  • メールサーバー

    3メールアドレス

必要に応じてMySQL(または他の)データベースサーバーサーバーは私だけが管理します。 1つはSudoアクセスのSSHアカウントで、もう1つは主にSFTP操作用の制限があります。

私はすべてをZFS(暗号化されたルート)でセットアップし、現在、jailを使用する必要があるかどうかを考えています。

また、ルートボリュームではなく、ジェイルを暗号化する方が理にかなっているのかどうかもわかりませんが、その方法はわかりません。

私が読んでいると、刑務所のセキュリティの向上について議論することができ、システム全体の複雑さが増したことで何かが得られるかどうかはわかりません。

1
basbebe

それは本当にあなた次第です。

刑務所を設定する利点は、刑務所間で発生するセキュリティの問題を分離するだけでなく、それらを個別にアップグレードおよび管理することを容易にし、信頼性を高めることができることです。

もちろん、刑務所を設置することの欠点は、それを学ばなければならないこと、それは少しの管理オーバーヘッドなどです。

個人的には、フロントエンドのnginxリバースプロキシ用のjailを1つのジェイルにセットアップしてから、Webアプリごとに個別のWebサーバージェイルをセットアップします。このように、1つのWebアプリの問題が他のアプリに影響を与えることはありません。同様に、メールサーバーはMySQLと同様に、独自の刑務所を取得します。

Ezjailを見てください。刑務所の設定が簡単になります。

3
Steve Wills