Moin,
ich betreibe einen Webserver auf einem Linux-VirtualServer (CentOS 5.2).
Da ich gern noch 'nen Datenbankserver darauf laufen lassen moechte, und bereits einiges darueber gelesen habe, dass der Ausbruch aus Chroot-Umgebungen durchaus moeglich und auch gut dokumentiert ist, wollte ich mich mal erkundigen, ob es Alternativen zu Chroot auf VServern gibt, da ich Datenbank- und Webserver gern in getrennten Environments betreiben wuerde? OpenVZ kommt ja leider nicht in Frage, da ich keinen Zugriff auf den Kernel habe.
MfG
Alternative zu Chroot auf Linux-VServer
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Alternative zu Chroot auf Linux-VServer
Ich finde, man kann die Abschottung der Dienste untereinander auch übertreiben. Zunächst das Wichtigste: Ja, man kann aus einer chroot-Umgebung ausbrechen.
Allerdings musst du dir die Frage stellen, ob sich der Aufwand, den Dienst zu isolieren in deinem Fall überhaupt lohnt. Soll der Datenbankserver von außen erreichbar sein? Haben nicht vertrauenswürdige Benutzer Zugriff auf den Dienst? Wenn du beide Fragen mit "Nein" beantworten kannst, ist eine aufwendige Isolierung des Datenbankservers meiner Meinung nicht notwendig.
Die Anwendungen, die Zugriff auf den Datenbankserver haben, solltest du dann natürlich entsprechend prüfen und deren Privilegien ggf. stark einschränken.
Allerdings musst du dir die Frage stellen, ob sich der Aufwand, den Dienst zu isolieren in deinem Fall überhaupt lohnt. Soll der Datenbankserver von außen erreichbar sein? Haben nicht vertrauenswürdige Benutzer Zugriff auf den Dienst? Wenn du beide Fragen mit "Nein" beantworten kannst, ist eine aufwendige Isolierung des Datenbankservers meiner Meinung nicht notwendig.
Die Anwendungen, die Zugriff auf den Datenbankserver haben, solltest du dann natürlich entsprechend prüfen und deren Privilegien ggf. stark einschränken.