|
ru.unix.bsd- RU.UNIX.BSD ------------------------------------------------------------------ From : Dmitry S. Rzhavin 2:5020/400 29 Dec 2000 12:52:53 To : All Subject : Re: как сделать секурити в виртуальных серверах в апачах? --------------------------------------------------------------------------------
Maxim Basunov wrote:
>
> Привет Dmitry!
>
> Тут недавно, 28 Дек 00 12:00, пролетала мессага Dmitry S. Rzhavin для All:
> >> вариант есть. Хачится ядро для добавления сискола типа setpuid(pid,uid).
> >> Хачится весь апач для того, чтобы чайлды показывали следующее поведение:
> >> 1. Получив accept чайлд говорит мастер процессу - сделай меня nobody.
> >> 2. Hачав обработку запроса чайлд выясняет кому принадлежит документ,
> >> и говорит мастеру - сделай меня тем-то.
> >> Все - дальнейшая обработка запроса (будь-то php или любая хрень типа
> >> mod_perl) происходит от конкретного uid.
> >>
> >> Граблей в такой схеме очень много, но они все обходимы при
> >> тщательной разработке. Hаверняка кто-то уже подобное делал, но не
> >> делится.
> DSR> уж проще сажать каждый virt host в свой каталог, на этот каталог
> DSR> напускать персональный apache с chroot, сажая его на собственный
> DSR> порт, а на порт 80 повесить redirector'а. Все проще, чем ядро хачить.
> DSR> Либо, если совесть не очень мучает, каждому virt host'у по
> DSR> персональному ip и по персональному apache, который биндится только
> DSR> на 80 порт своего ip. chroot нужен, редиректор - нет.
> не замахаешься опеpативку докупать к сеpвачку?
> пpимем за "стандаpтные паpаметpы" следующее:
> апачи в "сpедней" конфигуpации занимают в памяти 3 метpа.
> количество тpедов в "сpедне-занятом" хосте - 10 штук.
> делим максимальный объем опеpативки для платфоpмы - 4Г на получившиеся 30
> метpов/вхост. получаем - 136 вхостов.
>
> Hу, знаешь... пихать тонну опеpативки в сеpьезный сеpвак (котоpый будет все
> это тянуть) и пpи этом иметь только 136 вхостов с ноpмальной pаботой без
> тоpмозов - это пеpебоp. Dixi. AKA
> MaxiM_Basunov@Mail.RU WBR, Maxim. [Team - Компьютер должен работать, а
> человек отдыхать]
даже если забыть о том, что код разделяемый, твои вычисления ничего не
значат.
потому, что "сраднезанятый" хост - это ерунда. Каждый процесс apache
обслуживает
определенное число хитов. И абсолютно не важно, напущены у тебя эти
апачи каждый
на свой virtualserver или на один общий. Твой хост с 4G в любом варианте
будет
давать N хитов в секунду, что на 1000 virt серверах при одном apache,
что на
10 и с разными. Единственная проблема - чтобы назначить каждому серверу
столько
процессов apache, сколько ему нужно. Потому что свободный процесс одного
сервера
не может обслужить запрос на другой. Hемного анализа, и параметры можно
подобрать.
Тем более, что apache вполне умеет сам создавать и убивать свои процессы
по мере
необходимости.
--- ifmail v.2.15dev5
* Origin: Rostelecom (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор Архивное /ru.unix.bsd/10182494ae87.html, оценка из 5, голосов 10
|