|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Eugeny A. Krestnikoff 2:5020/400 27 Sep 2001 05:13:02
To : Anton Kovalenko
Subject : Re: Безопасный хостинг
--------------------------------------------------------------------------------
Anton Kovalenko <a_kovalenko@fromru.com> изрек:
>
> Я бы запустил Apache под chroot'ом (man chroot), и положил в /bin и /usr/bin
> только то, что нужно пускать из cgi-скриптов (ну и perl, естественно).
>
(ИМХО) chroot не панацея при возможности пускать свои скрипты.
Имея богатый опыт общения с FreeBSD и некоторый опыт общения с
эхотагом, я бы рекомендовал для сервера FreeBSD, в ней есть
такая полезная фича как jail. Тоже конечно не панацея, но
достаточно надежная штука чтобы ее использовать на практике.
В линуксе есть сходная технология, но она предполагает
собственное ядро как пользовательский процесс.
А вообще, сервер для хостинга настоятельно рекомендую
делать на отдельной тачке, далее для линукса chroot+apache+suexec,
или, для FreeBSD jail+apache+suexec.
Тут ведь в чем вся фишка, естественно софт системный
ценностью не обладает, ценны пользовательские данные+
бесперебойный сервис.
Поэтому достаточно chroot'ом закрыться от возможности
тыкаться в локальные дырки (оставив пользователю минимальный
набор утилит) и далее suexec для невозможности повредить
чужие данные (ты же не станешь пускать на каждый виртуальный
хост своего индейца.... или станешь?)
PS CGI!=perl еще наверное sh понадобится, ну и минимальный
набор утилей.
--
*** Eugeny A. Krestnikoff - человек без паспорта ***
Чтоб суть дерьма на расстоянии понять
Полезно научиться обонять...
(c) Ira-san
--- ifmail v.2.15dev5
* Origin: node SVYAZ (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Безопасный хостинг 
