我在这方面做了很多研究.我甚至利用了 AppArmor’s rulesets for MySQL.AppArmor是最弱的进程分离形式.我正在利用的属性是所有进程都具有对某些相同目录的写权限,例如/ tmp /. AppArmor的不错之处在于它在没有以用户/管理员方式进入的情况下打破了一些漏洞.然而,AppArmor有一些基本的缺陷,不会很快修复.

SELinux非常安全,也非常烦人.与AppAmoror不同,大多数合法应用程序在SELinux重新配置之前不会运行.大多数情况下,这会导致管理员错误配置SELinux或将它们全部禁用.

grsecurity是一个非常大的工具包.我最喜欢的是grsecuirty的增强型chroot.这比SELinux更安全,虽然设置一个chroot监狱需要一些技巧和一些时间,因为SELinux和AppAprmor“正常工作”.

有一个第四个系统,一个虚拟机.在VM环境中发现了漏洞,可能允许攻击者“爆发”.但是,VM在VM中具有比chroot更大的分离,因为您在进程之间共享的资源较少. VM可用的资源是虚拟的,并且在其他VM之间可以很少或没有重叠.这也涉及< buzzword> “云计算”< / buzzword>.在云环境中,您可以在数据库和Web应用程序之间实现非常清晰的分离,这对于安全性非常重要.也许1个漏洞可能拥有整个云,并且所有VM都在其上运行.