Webサーバーに対するCHROOTの相対的な重要性

私はchrootが難しいという考えに同意しません-それはすべてに適しているわけではありません。サーバーが複数のWeb環境をホストする小規模な環境では、chrootは非常に強力であり、分離とエスカレーション防止に関する制御を提供します。それを管理することは、大きなリソースの問題ではありません。

エンタープライズ規模の環境では、chrootを使用する可能性は低くなります（大規模な環境では扱いにくくなるため）。ただし、詳細な監視、IDS/IPS、レイヤードファイアウォール、SIEMを含む可能性のある代替制御を使用する可能性があります。 。

私はmod_securityを不可欠なものとして分類します（それまたは同等の機能を持つWebサーバーの場合）。これは、実装が簡単な追加の防御層であり、ほとんどのユースケースでは、大きな影響はありません。

chrootとmod_security-ファイアウォールなどはすべて、攻撃の防止または少なくとも遅延に役立つ可能性のあるセキュリティの単なるレイヤーであり、それにより、過度の損傷を引き起こす前にそれを発見する可能性が高くなります（監視していると仮定します）。 。別のコントロール）