하나의 우분투 서버는 3 개의 앱을 모두 별도 도메인에 호스팅합니다.
각 앱에는 자체 개발자가 있습니다.
앱 개발자는 Linux "sftp"그룹에 속합니다.
chroot
각 앱 개발자의 비밀번호 sftp 액세스를 허용합니다.
/home/app1/prod
/home/app2/prod
/home/app3/prod
sshd_config에서
Match Group sftp
PasswordAuthentication yes
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
우리의 관심사는 한 앱의 프로그래밍 취약점으로 인해 다른 2 개의 앱에서 문제가 발생하는 것입니다.
chroot 대신 lxc 컨테이너를 사용해야합니까? 왜? lxc 컨테이너 변경은 앱 개발자에게 투명합니까?
chroot
프로세스의 루트 디렉토리 만 변경하면됩니다. 그것은 격리 또는 다른 것을 제공하지 않습니다.