He leído opiniones extremadamente variadas sobre el proceso de chroot para un servidor web (entorno no compartido). Algunas personas confían en ello, pero otras dicen que no es tan seguro como dicen todos.
Dado que chroot puede ser difícil y llevar mucho tiempo para implementar y mantener, en un servidor no compartido, ¿Chroot? ¿Por qué / por qué no?
Si lo hace, ¿utiliza un módulo como mod_security?
Si no lo hace, ¿hace algo más al servidor que cumple el mismo objetivo?
No estoy de acuerdo con la idea de que chroot es difícil, simplemente no es apropiado para todo. Para un entorno pequeño, con un servidor que aloja más de un entorno web, chroot es extremadamente poderoso y proporciona controles sobre la separación y la prevención de escalamiento. Gestionarlo no es un gran problema de recursos.
Si tiene un entorno de escala empresarial, es menos probable que use chroot (ya que se vuelve difícil de manejar en un entorno grande), pero es probable que tenga controles alternativos que pueden incluir monitoreo en profundidad, IDS / IPS, en capas cortafuegos y SIEM.
Yo clasificaría mod_security como un elemento esencial (para los servidores web que lo tienen o una funcionalidad equivalente): es una capa adicional de defensa que es fácil de implementar y para la mayoría de los casos de uso no causa un impacto significativo. p>
chroot y mod_security, así como los firewalls, etc., son solo capas de seguridad que pueden ayudar a prevenir un ataque o, al menos, retardarlo, por lo que aumenta la probabilidad de que lo detectes antes de que cause demasiado daño (asumiendo que también monitoreando ... otro control)
Lea otras preguntas en las etiquetas webserver linux mod-security