https://opennet.ru/openforum/vsluhforumID1/90564.html В общем с одной стороны тема достаточно банальная, так как поднималась интернете не раз,но с другой стороны ответа на вопрос я так и не нашел.<br><br>Нужен хостинг Apache+PHP+MySql. Сразу оговорюсь, на нем должны хоститься не только мои сайты, но и сайты клиентов, а значит самое-то подумать о безопасности.<br><br>PHP как я понял, из статей валяющихся в интернете, лучше настраивать не модулем, а CGI.<br><br>Каким образом организовать то, что бы один клиент не смог даже прочитать содержимое каталога другого?<br><br>Первая мысль которая напрашивается: Каждый пользователь owner для своей папки, так же папка принадлежит группе пользователей apache. Вроде нормально, но если пользователю в php-скрипте нужно будет записать что-то в файл? Окажется что у него нет доступа?<br><br>Так же в этом случае не знаю как быть с ограничением места под сайт. В ProFTPd еще как-то можно ограничить место, но давать юзерам доступ по ssh в этом случае крайне не рекомендуется. (хотя бы потому что они смогут зайти и почитать конфигурационные файлы в систе https://opennet.ru/openforum/vsluhforumID1/90564.html#18 Wed, 29 Dec 2010 12:43:35 GMT Хорошо, на счет ssh с разграниченными правами<br><br>Предположим есть директория <br>/var/www<br><br>в ней есть папки юзеров<br><br>vasya_site<br>petya_site<br>masha_site<br><br>У каждой папки owner соответственно vasya, petya, masha<br><br>на директорию www стоит доступ rwx r-x --x<br>На каждую директорию пользователя rwx r-x ---<br><br>Соответственно каждый каталог для юзера является домашним. Т.е. начинает он свой путь именно оттуда. По-идее он не имеет возможности попасть в директорию /var/www (проверял), но если он сделает chdir / или chdir /var (/usr) то он перейдет соответственно в соответствующую директорию. Можно конечно отобрать права на чтение "для всех" на все директории, но боюсь что могут возникнуть вопросы у приложений. Во всяком случае папку /bin прийдется оставить, т.к. иначе он не сможет даже вызвать chdir, да и с /bin/sh у него будут проблемы. А в таком случае возникнут вопросы, что он сможет вызвать что-то, что не должен. <br><br>Поэтому решение давать ssh не отделяя окружение - не очень хорошая идея. В моей зад https://opennet.ru/openforum/vsluhforumID1/90564.html#17 Wed, 29 Dec 2010 11:49:14 GMT &gt; Спасибо. Думаю что придется отказаться от jail в пользу этого решения. <br>&gt; Правда и от ssh доступа тоже.<br><br>Я лично не вижу особых причин полностью отказываться от раздачи ssh. за вычетом дыр в ядре, особо критичного ничего не будет, при правильной раздаче прав и конфигурации сервера. Ну можно r снять с каталога /web, чтобы перечисления аккаунтов не было, как top ограничить чтобы показывал только процессы пользователя - тоже вопрос минимальный.<br>Не забудьте ограничения (лимиты) повыставлять на потребляемые пользователями ресурсы и память, (форк-бомбы, зажирание всей оперативы и тп).<br><br>&gt; Походу сделать хостинг на jail вроде бы хорошо (в плане секьюрности), но <br>&gt; на каждую клетку свой ип - это накладно.<br><br>ну так айпи - выдавайте внутренние, для доступа снаружи по ssh - проброс портов, естественно порт будет не 22. Про ftp доступ лучше забыть, как из-за того, что порты будут нестандартны и придет много головняка, так и из-за того, что это небезопасно.<br><br>Проброс веб-трафика - через nginx, который по имени ве https://opennet.ru/openforum/vsluhforumID1/90564.html#16 Wed, 29 Dec 2010 08:22:37 GMT Спасибо. Думаю что придется отказаться от jail в пользу этого решения. Правда и от ssh доступа тоже.<br><br>Походу сделать хостинг на jail вроде бы хорошо (в плане секьюрности), но на каждую клетку свой ип - это накладно.<br><br>Я просто встречал такие хостинги, которые дают доступ и по ssh тоже. Там по-всей видимости было настроено как-раз таки через jail, т.к. были каталоги типа /etc /bin <br> https://opennet.ru/openforum/vsluhforumID1/90564.html#15 Tue, 28 Dec 2010 19:33:54 GMT &gt;&gt; На одном ай-пи уживаться не будут, тогда как-таки быть с хостингом, когда <br>&gt;&gt; нужно что бы на одном сервере было много разных сайтов.<br>&gt; Решений есть множество. Например, настраивается ДНС так, чтобы в мир для всех <br>&gt; джейлов отдавался один общий адрес, а внутри имена разруливались по серым <br>&gt; адресам.<br><br>можно на FE поставить nginx, и пробрасывать запросы в jails по внутренним айпишникам...<br><br>-----------<br><br>а можно мозг не парить, и поставить apache + suexec + fastcgi и php через fastcgi крутить.<br><br>памяти конечно экземпляры php поедят прилично, но от этого никуда не деться, если по jails разделить, то они поедят её еще больше. (Но внятно настроенный fastcgi будет прибивать ненужные процессы ;-) <br><br>ну и далее настроить права доступа<br>750 siteuser:www-data на /web/siteuser/, <br>750 root:siteuser на /var/log/hosting/siteuser<br><br>(пользователь siteuser создается с группой siteuser, в www-data его включать не надо)<br><br>собственно, считаю что этого достаточно.<br><br>поставить nginx и перед этим "сервером прило https://opennet.ru/openforum/vsluhforumID1/90564.html#14 Tue, 28 Dec 2010 13:50:57 GMT &gt; На одном ай-пи уживаться не будут, тогда как-таки быть с хостингом, когда <br>&gt; нужно что бы на одном сервере было много разных сайтов.<br><br>Решений есть множество. Например, настраивается ДНС так, чтобы в мир для всех джейлов отдавался один общий адрес, а внутри имена разруливались по серым адресам. <br> https://opennet.ru/openforum/vsluhforumID1/90564.html#13 Tue, 28 Dec 2010 13:40:48 GMT Автор действительно не много понимает в chroot и jail, т.к. до этого с этим не приходилось иметь дел.<br><br>На одном ай-пи уживаться не будут, тогда как-таки быть с хостингом, когда нужно что бы на одном сервере было много разных сайтов. У меня, конечно, есть пару внешних ипов от прова, но их хватит очень не на много<br> https://opennet.ru/openforum/vsluhforumID1/90564.html#12 Tue, 28 Dec 2010 13:31:32 GMT &gt;&gt; Если же каждый виртуалхост засовывать в отдельный jail - это же убиться можно <br>&gt;&gt; Кстати, если верить мануалам, то каждая клетка собирается достаточно долго.<br>&gt; Феерично.<br>&gt; 1. скопировать шаблон джейла и в него скопировать виртуалхост - дело пары <br>&gt; минут <br>&gt; 2. джейл под типовую задачу собирается лишь раз, затем копипастится <br><br>не только феерично, но и архи-глупо!<br>афтар видимо не понимает, что хоть в чруте, хоть в жейле - если будет запускаться несколько индейцев - то они не уживутся на одном порту одного айпи!<br> https://opennet.ru/openforum/vsluhforumID1/90564.html#11 Tue, 28 Dec 2010 12:19:43 GMT &gt; Если же каждый виртуалхост засовывать в отдельный jail - это же убиться можно <br>&gt; Кстати, если верить мануалам, то каждая клетка собирается достаточно долго.<br><br>Феерично.<br><br>1. скопировать шаблон джейла и в него скопировать виртуалхост - дело пары минут<br>2. джейл под типовую задачу собирается лишь раз, затем копипастится<br> https://opennet.ru/openforum/vsluhforumID1/90564.html#10 Tue, 28 Dec 2010 11:09:19 GMT Смотрю что если ставить jail, то каждой клетке нужно назначать свой ip, хотя в моей задаче нужно что бы у сервака оставался один общий ip-адрес. Так же по всей видимости прийдется в каждую клетку ставить apache, mysql и т.д. т.е. никакого места не напасешся.<br><br>Может все-таки chroot в этом плане лучше? Только ессно надо убрать у пользователя с папки /bin /sbin лишние файлы<br><br>Моя задача разделить доступ к файлам пользователей, т.е. что бы один юзер не смог прочитать файлы другого. Если же каждый виртуалхост засовывать в отдельный jail - это же убиться можно<br><br><br>Кстати, если верить мануалам, то каждая клетка собирается достаточно долго.<br>