Hi, wir haben diverse Webanwendungen. Dynamische Webseiten mit perl, php und Java (Tomcat) in Verbindung mit MySQL- oder Postgres-Datenbanken. Diese sind teilweise vom Internet zugänglich und unter dem Gesichtspunkt der Sicherheit bestenfalls als suboptimal zu bezeichnen. Ich denke über die Absicherung dieser nach. Selbstverständlich installiere ich die Sicherheitspatches für Tomcat und Apache httpd zeitnah. Zum einen denke ich an AppArmor. Ich habe dies bisher noch nicht genutzt, aber einiges drüber gelesen. Dadurch daß man die Anwendungen mit dem Lernmodus monitoren kann, es teilweise bereits Profile gibt und die Syntax der Konfigurationsdateien auch machbar aussieht, scheint mir die Lösung gar nicht übel und auch stemmbar. Die andere Idee sind Container für die Webanwendungen. Auch hier habe ich keine praktischen Erfahrungen und bisher nur einiges gelesen. Auch hier scheinen ja die Anwendungen gekapselt zu sein, haben nur beschränkt Zugriff auf z.B. das Dateisystems des hosts, sehen nur ihre eigenen Prozesse ... Außerdem kann man jeder Webanwendung die notwendige Umgebung individuell zur Verfügung stellen, sprich notwendige Bibliotheken, JRE, php- oder perl-Version ... Was ich mich aber frage: Kann ich, und wenn ja wie, einen "containerisierten" httpd oder tomcat noch ganz normal mit zypper aktualisieren, sprich patches einspielen ? Docker gefällt mir insoweit gut, als das ich hier 2 Fliegen mir einer Klappe schlagen kann: individuelle Umgebung zur Verfügung stellen und Sicherheit durch Kapselung. Was haltet Ihr für die bessere Lösung ? Bernd -- Bernd Lentes Systemadministration institute of developmental genetics Gebäude 35.34 - Raum 208 HelmholtzZentrum München bernd.lentes@helmholtz-muenchen.de phone: +49 (0)89 3187 1241 fax: +49 (0)89 3187 2294 Wer Visionen hat soll zum Hausarzt gehen Helmut Schmidt Helmholtz Zentrum Muenchen Deutsches Forschungszentrum fuer Gesundheit und Umwelt (GmbH) Ingolstaedter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir'in Baerbel Brumme-Bothe Geschaeftsfuehrer: Prof. Dr. Guenther Wess, Dr. Alfons Enhsen, Renate Schlusen (komm.) Registergericht: Amtsgericht Muenchen HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org