Я предполагаю, что Вы будете также использовать SSH для удаленного доступа и обслуживания сервера.
Теперь, который SSH, обоснованно заблокированный вниз, установите брандмауэр с ufw и только разрешите входящие соединения с сервисами, Вы знаете, что будете работать.
ufw enable
ufw allow ssh
ufw allow http
ufw allow https
ufw default deny
Вышеупомянутое не тестируется и могло бы заблокировать Вас из сети, но это должно быть близко к корректному. Теперь заблокировать вниз PHP. Желательно изучить выполнение PHP через fastcgi или suexec вместо того, чтобы использовать mod_php, поскольку это позволяет Вам выполнять PHP как другому пользователю (или пользователям для нескольких сайтов) защита Apache от нарушения защиты в PHP. Существуют также некоторые другие подсказки в руководстве PHP об обеспечении PHP, такие как безопасный режим. При выполнении стандартного CMS с PHP как Drupal/Joomla/Wordpress то удостоверьтесь, что он остается в курсе с последними патчами безопасности.
Прежде чем я доберусь до chrooting, Вы рассмотрели хитрость проблемы? Вы не полностью без опций:
начальная загрузка от карты с интерфейсом USB или USB DVD (если это не подвешивает компьютер также),
или, если у Вас есть другой компьютер под рукой,
при начальной загрузке из сети (если ноутбук способен к этому) - установка tftp сервера не является трудной.
вынимание жесткого диска и установка его на другой машине.
Следующая вещь рассмотреть: Вам действительно нужен chrooting вообще? Разве установщик не в состоянии работать из какого-либо каталога?
Теперь chrooting. Много зависит от того, делится ли Ваш диск. Если бы это не, я настоятельно рекомендовал бы следовать одним из маршрутов выше (которые являются на самом деле нейтрализацией, если что-нибудь идет не так, как надо).
Предположим, у Вас есть раздел S смонтированный в /S
куда можно поместить содержание установочного носителя и раздел T смонтированный как /
в рабочей системе шаги должны быть более или менее следующим образом (правовая оговорка: Я не протестировал его!):
смонтируйте обратная петля ISO где-нибудь: mount -o loop,ro /path/to/iso /some/where
скопируйте мультимедийный контент в от медиа до S: cp -r /some/where/* /S
войдите в однопользовательский режим, выключите все сервисы, размонтируйте все разделы за исключением T и S
свяжите - монтируют важные псевдо файловые системы от рабочей системы:
for fs in /dev /dev/pts /proc /sys; do
mount -o bind ${fs} S${fs}
done
pivot_root - подкачайте корень и другой каталог для рабочего процесса и exec chroot
(должностное лицо необходимо, чтобы смочь размонтировать старое /
).
cd /S
pivot_root . old_root
exec chroot . command
размонтируйте старый корень:
for fs in /dev /dev/pts /proc /sys; do
umount old_root${fs}
done
umount old_root
И там необходимо быть, смонтировав мультимедийный контент как /
и самые важные псевдо файловые системы, где они обычно. Обратите внимание, что Вы не можете действительно просто chroot к смонтированным медиа, если Вы хотите размонтировать старое /
- смонтированные медиа, поддерживающие файл, должны быть в файловой системе, смонтированной где-нибудь под старым корнем, и необходимо размонтировать все из-под корня. И Вы действительно хотите размонтировать старый корень, если у Вас нет другого запасного раздела для установки на - потому что, если Вы собираетесь установить на T, монтирование его где-то в другом месте одновременно, возможно с некоторыми программами, все еще работающими от него, просто просит проблемы. Особенно должны Вы решать отформатировать его.