FreeBSD 监狱和套接字

Question

我对从 Linux 切换到 freeBSD 还很陌生。

我读到了有关监狱的内容，该解决方案听起来非常适合服务器系统。 所以我对网络服务器的想法是创建 3 个监狱。 1 个 mysql 监狱，1 个 nginx 监狱，1 个 php-fpm 监狱。 现在监狱之间必须相互沟通。我该怎么做？

通过IP？这将是一个很大的开销，但很安全。 这是一个例子：

• 客户端
  • -> TCP/IP-> NGINX
  • -> TCP/IP-> PHP-FPM
  • -> TCP/IP-> MYSQL
  • -> TCP/IP-> PHP-FPM
  • -> TCP/IP-> NGINX
  • -> TCP/IP->客户

：这将是一个安全损失..

• 在主机系统上创建一个目录
• 在监狱中创建一个目录
• 合并目录

您使用哪种解决方案？或者您有更好的解决方案吗？

Answer 1

我不会分离 php-fpm 但这是可能的。如今，IP 通信的开销并不是那么大，而且考虑到数据库和 PHP 处理器需要进行的处理要大得多，IP 通信的开销也不是那么重要。特别是因为不涉及实际的电线。数据包通过环回结构通过接口路由，并且不会到达线路。

分离的优点是，如果需要，您可以将监狱移动到另一台物理机器，并且移动监狱是轻而易举的事。

澄清为什么不将 php-fpm 移到单独的监狱中是因为修改网站成为静态内容（图像）和动态内容（php 文件）的两个任务过程。优点是网络服务器软件的漏洞无法修改 php 代码。这也是为什么你不应该

Answer 2

我真的不知道这是否是最好的解决方案，但如果您可以使用 Unix 域套接字，您可以在三个监狱之间共享安装。命名空间是隔离的（它们无法在共享安装点之外创建套接字），并且它们应该能够进行通信。

要创建共享挂载，您可以使用 nullfs 挂载。一个很好的（相当高级的）指南Jails 也谈到了 nullfs 挂载。当然，这个挂载点应该仅用于套接字，其他文件应该保持独立。

再说一遍，我不知道这些应用程序是否可以通过 Unix 套接字进行通信，但如果可以，您可能就已经准备好了。