Chrooting в среду ArchLinux iso установки
Я предполагаю, что Вы будете также использовать SSH для удаленного доступа и обслуживания сервера.
- Потребуйте, чтобы пользователь имел сильные пароли или установил pam-cracklib.
- Отключите корневые логины. (PermitRootLogin не в sshd_config)
- Отключите пустые пароли. (PermitEmptyPasswords не в sshd_config и удаляют nullok из любых конфигурационных файлов PAM под/etc/pam.conf или/etc/pam.d),
- Отключите аутентификацию по паролю полностью для дополнительной премии и просто полагайтесь на более сильный открытый ключ или аутентификацию Kerberos. (PasswordAuthentication не в sshd_config)
- Ограничьте, какие пользователи могут использовать SSH. (AllowUsers в sshd_config)
Теперь, который SSH, обоснованно заблокированный вниз, установите брандмауэр с ufw и только разрешите входящие соединения с сервисами, Вы знаете, что будете работать.
ufw enable
ufw allow ssh
ufw allow http
ufw allow https
ufw default deny
Вышеупомянутое не тестируется и могло бы заблокировать Вас из сети, но это должно быть близко к корректному. Теперь заблокировать вниз PHP. Желательно изучить выполнение PHP через fastcgi или suexec вместо того, чтобы использовать mod_php, поскольку это позволяет Вам выполнять PHP как другому пользователю (или пользователям для нескольких сайтов) защита Apache от нарушения защиты в PHP. Существуют также некоторые другие подсказки в руководстве PHP об обеспечении PHP, такие как безопасный режим. При выполнении стандартного CMS с PHP как Drupal/Joomla/Wordpress то удостоверьтесь, что он остается в курсе с последними патчами безопасности.
Прежде чем я доберусь до chrooting, Вы рассмотрели хитрость проблемы? Вы не полностью без опций:
начальная загрузка от карты с интерфейсом USB или USB DVD (если это не подвешивает компьютер также),
или, если у Вас есть другой компьютер под рукой,
при начальной загрузке из сети (если ноутбук способен к этому) - установка tftp сервера не является трудной.
вынимание жесткого диска и установка его на другой машине.
Следующая вещь рассмотреть: Вам действительно нужен chrooting вообще? Разве установщик не в состоянии работать из какого-либо каталога?
Теперь chrooting. Много зависит от того, делится ли Ваш диск. Если бы это не, я настоятельно рекомендовал бы следовать одним из маршрутов выше (которые являются на самом деле нейтрализацией, если что-нибудь идет не так, как надо).
Предположим, у Вас есть раздел S смонтированный в /S куда можно поместить содержание установочного носителя и раздел T смонтированный как / в рабочей системе шаги должны быть более или менее следующим образом (правовая оговорка: Я не протестировал его!):
смонтируйте обратная петля ISO где-нибудь:
mount -o loop,ro /path/to/iso /some/whereскопируйте мультимедийный контент в от медиа до S:
cp -r /some/where/* /Sвойдите в однопользовательский режим, выключите все сервисы, размонтируйте все разделы за исключением T и S
свяжите - монтируют важные псевдо файловые системы от рабочей системы:
for fs in /dev /dev/pts /proc /sys; do mount -o bind ${fs} S${fs} donepivot_root - подкачайте корень и другой каталог для рабочего процесса и
exec chroot(должностное лицо необходимо, чтобы смочь размонтировать старое/).cd /S pivot_root . old_root exec chroot . commandразмонтируйте старый корень:
for fs in /dev /dev/pts /proc /sys; do umount old_root${fs} done umount old_root
И там необходимо быть, смонтировав мультимедийный контент как / и самые важные псевдо файловые системы, где они обычно. Обратите внимание, что Вы не можете действительно просто chroot к смонтированным медиа, если Вы хотите размонтировать старое / - смонтированные медиа, поддерживающие файл, должны быть в файловой системе, смонтированной где-нибудь под старым корнем, и необходимо размонтировать все из-под корня. И Вы действительно хотите размонтировать старый корень, если у Вас нет другого запасного раздела для установки на - потому что, если Вы собираетесь установить на T, монтирование его где-то в другом месте одновременно, возможно с некоторыми программами, все еще работающими от него, просто просит проблемы. Особенно должны Вы решать отформатировать его.