FreeBSD 10：我需要監獄嗎？

我正在使用 KVM 伺服器上的一些服務設置 FreeBSD 10 伺服器：

• 帶有 PHP-FPM 的 NGINX 網路伺服器

2 個域，3 個子域

• 郵件伺服器

3 電子郵件地址

MySQL（或其他）數據庫伺服器（如果需要） 該伺服器將僅由我管理。一個具有 sudo 訪問權限的 SSH 帳戶，然後是第二個具有限制的 SSH 帳戶，主要用於 SFTP 操作。

我使用 ZFS（加密根）設置了所有內容，現在正在考慮是否應該/需要使用監獄。

我也不確定加密監獄而不是根卷是否更有意義，儘管我不知道如何做到這一點。

當我讀到監獄的安全收益可以爭論時，我不確定我是否會因為整個系統的複雜性而獲得任何收益。

這真的取決於你。

設置jails 的好處是您可以將jails 之間出現的安全問題分開，並使其更容易單獨升級和管理，從而提高可靠性。

當然，設置監獄的缺點是您必須學習它，這會帶來一些管理成本等。

就個人而言，我可能會在一個監獄中為前端 nginx 反向代理設置一個監獄，然後為每個 Web 應用程序設置一個單獨的 Web 伺服器監獄。這樣，一個 Web 應用程序的問題不會影響其他應用程序。類似地，郵件伺服器會得到它自己的監獄，就像 MySQL 一樣。

看看 ezjail，它會讓設置監獄更容易。

引用自：https://unix.stackexchange.com/questions/189513