Забудьте мифы о том, что Chroot не является функцией безопасности ... он интегрирован в качестве функции безопасности в основные приложения всех размеров и разновидностей для причина
OpenVZ сам по себе в основном Chroot на стероидах, и это должно или будет все, что вам нужно. при условии, что это сделано в соответствии со стандартами настройки Chroot и стандартной процедурой.
Как правило, если вы просто пытаетесь обеспечить дополнительный уровень безопасности для NGinx, используйте Chroot. Вы в основном пытаетесь обеспечить конфиденциальность между пользователями, делая это, или обеспечивая безопасность с помощью плохо закодированных систем управления контентом.
это помогает защитить, для нескольких незначительных примеров, от атак обхода каталогов, ошибок удаленного включения файлов или выполнения приложений в базовой системе. он также может помочь защитить от любых известных, неизвестных или будущих уязвимостей NGinx, сдерживая повреждение каталога Chroot.
с учетом сказанного, однако, убедитесь, что ваша базовая система защищена, и проверьте, какую версию NGinx используют репозитории вашей операционной системы, и сравните ее с любыми рекомендациями по безопасности, которые в настоящее время доступны для NGinx. вы можете скомпилировать последнюю стабильную сборку и использовать ее вместо этого.
R-FX Networks предлагает полезное приложение, которое может помочь защитить от некоторых видов атак на работающий демон без использования AppArmor или SELinux. Он называется СНИВ .
для получения дополнительной информации о том, почему Chroot по-прежнему является полностью действующим инструментом безопасности в наши дни; см. этот ответ Я недавно дал более подробное объяснение этого сценария.
Используйте контейнеры Linux, LXC, внутри OpenVZ VPS. Это возможно.