FreeBSD 10: Мне нужны тюрьмы?

Я нахожусь в установке сервера FreeBSD 10 только с некоторыми сервисами на сервере KVM:

MySQL (или другой) сервер базы данных при необходимости. Сервер будет управляться только мной. Одна учетная запись SSH с доступом sudo, а затем вторая с ограничениями, в основном для операций SFTP.

Я установил все с помощью ZFS (зашифрованный корень), и теперь я думаю о том, что мне нужно / нужно использовать тюрьмы или нет.

Я также не уверен, что было бы разумнее зашифровать тюрьмы, а не корневой том, хотя я не знаю, как это сделать.

Поскольку я читаю, что усиление безопасности в тюрьмах может обсуждаться, и я не уверен, что я получу что-либо с добавленной сложностью всей системы.

Это действительно зависит от вас.

Преимущество настройки тюрем заключается в том, что вы собираетесь разделить проблемы безопасности, возникающие между тюрьмами, а также упростить их обновление и управление ими, что может повысить надежность.

Недостатком создания тюрьмы, конечно же, является то, что вы должны изучить его, это немного накладные расходы на управление и т. Д.

Лично я бы, вероятно, установил тюрьму для обратного прокси-сервера nginx переднего конца в одной тюрьме, а затем отдельную тюрьму веб-сервера для каждого веб-приложения. Таким образом, проблема с одним веб-приложением не повлияет на других. Аналогично, почтовый сервер получит свою собственную тюрьму, как и MySQL.

Взгляните на ezjail, это упростит настройку тюрем.