Как делают меня правильно chroot Nginx и uwsgi?
У меня есть довольно хорошая идея того, как сделать это, я просто хотел удостовериться, что я не собирался быть серьезно завинчивающим материалом, прежде чем я развернул его. У меня есть веб-приложение, которое использует uwsgi и nginx, и я хотел к chroot приложение к определенному каталогу. Я был планированием chrooting и nginx и uwsgi к тому же каталогу. Теперь, я знаю, как сделать это, но это было бы всем, что я должен сделать, чтобы заставить его защитить (с точки зрения заключения в тюрьму его) или являюсь там чем-либо еще, что я должен сделать? С другой стороны, является chrooting одним из них ненужный? т.е. должен я просто chroot uwsgi или nginx и оставлять другой в покое?
chroot - хорошее начало в обеспечении безопасности Вашего веб-сервера, но он работает правильно только тогда, когда uwsgi работает/настроен правильно.
Если Вы действительно ищете безопасную среду, Вы также захотите настроить selinux/apparmour для ограничения доступа к тому, к чему имеет доступ Ваш веб-сервер. Таким образом, даже если ваш веб-сервер скомпрометирован и/или настроен неправильно, ущерб будет ограничен только возможностью доступа к тому, к чему веб-сервер имеет доступ.
Вы все еще не совсем безопасны в самом строгом смысле этого слова. Другие вещи, которые вас интересуют, это то, какой пользователь работает на веб-сервере, какие разрешения у него есть, какие разрешения вы даете приложениям, которые работает на вашем веб-сервере, как применяются обновления, какие другие процессы выполняются, и так далее.
Как только вы разберетесь со всеми этими вещами, вы будете больше рассматривать аспекты социальной инженерии, например, безопасность ваших паролей, как насчет пользователей, использующих вашу систему, безопасность данных на/с вашего веб-сервера.
Короче говоря, вы, вероятно, никогда не сможете сделать достаточно, чтобы сделать что-то безопасное в зависимости от вашего определения безопасности, но chroot, вероятно, подойдет для того, что вы делаете.
.