Contenerización vs. Chroot en hosting compartido

2

Perdone mi comprensión rudimentaria de la seguridad del servidor, pero una cosa con la que siempre he tenido problemas fue entender cómo configurar chroot para separar carpetas (que son instalaciones de WP discretas) en un directorio /var/www . He visto mucha información conflictiva que indica que Apache no lo admite en hosts virtuales, etc., aunque algunos parecen recomendarlo de todos modos. En general, he estado confundido acerca de cómo proceder. No quiero un inicio de sesión WP o un complemento comprometido que permita el acceso de scripts de ataque al sistema de archivos más grande y otros sitios web.

Entonces, en algún momento vi una charla sobre el desarrollo de WP con Docker. Ofrece muchas ventajas de flujo de trabajo, pero también requiere que cambiemos completamente nuestra configuración. ¿La contenedorización ayuda a eliminar la necesidad de una solución de tipo chroot ? ¿Encarga efectivamente algo (aparte de los puertos expuestos, supongo) dentro de su propio contenedor? Si un solo contenedor (y solo ese único contenedor) se vio comprometido por un script malicioso o un ataque de fuerza bruta, es bastante fácil girar un reemplazo ... esto no significa que sea una pregunta de seguridad integral, como sé, usando Docker no es lo mismo que "endurecer", pero lo que realmente me pregunto es:

  

En un entorno de alojamiento de Ubuntu compartido, ¿la contenedorización de Docker ayudaría a evitar que un sitio de WordPress comprometido se propague frente a tenerlos todos en /var/www con algún tipo de solución chroot ?

    
pregunta armadadrive 20.11.2018 - 18:40
fuente

1 respuesta

2

Primero, chroot no es una característica de seguridad en ningún sistema Unix. Un usuario privilegiado puede realizar un segundo chroot para romper. Consulte aquí

En un entorno de ventana acoplable, los procesos y la red están aislados, por lo que no se puede intentar leer la memoria del kernel o usar más RAM de la permitida gracias a espacios de nombres . De hecho, si un usuario dentro de un contenedor puede escapar usando algún tipo de explotación del kernel, será un usuario con los privilegios del motor acoplador, por lo que tendrá acceso a todos ellos en la máquina host, pero en esos escenarios con chroot todos es mas facil Por lo tanto, Docker en general es más seguro que una configuración chroot porque chroot está pensado como una herramienta para aislar los procesos de instalación, depuración y uso de bibliotecas heredadas.

En segundo lugar, un núcleo de Wordpress puede comenzar a limpiarse cada vez que inicie el contenedor, pero en chroot, las escrituras son permanentes. Además, es posible que los contenedores carezcan de un shell, por lo que si alguien carga un phpshell, se producirá un error.

Más información: ¿Puedo hacer mi ¿El servidor en línea es más seguro usando Docker?

    
respondido por el Celebre Asm 20.11.2018 - 20:21
fuente

Lea otras preguntas en las etiquetas