Исходное сообщение
"chroot / vps" Отправлено Michael Shigorin, 30-Янв-08 01:49
>>Который не в курсе, что обычно веб-сервер в чрут запихивать как раз >>бессмысленно: получается по толщине эквивалент VPS, >Неправда ваша, дяденька. Chroot можно сделать очень компактным. Вот только толку с него обычно пропорционально.  Статику относительно безопасно раздать -- дело относительно нехитрое... >Особенно если сервак умеет дропать права и делать чрут уже после старта. Я в курсе и про mod_chroot тоже. >Получается буквально сотни кб...несколько мб.Никакой VPS >во столько не влезет. На самом деле VPS с разделяемыми бинарниками недалеко по накладным расходам... >>а по надёжности изоляции -- много хуже. >Факт.Зато и делается проще и в любой системе нахаляву. Насчёт халявы тоже не могу совсем согласиться; посмотрите альтовский chrooted, если хотите (и тут же есть chrootuid), но и с ними -- это изрядно возни. >> chroot(2) не является средством безопасности by design. >А чем он тогда по вашему является? Средством изменить вид процессов на файловую систему, разумеется. >Всю жизнь был средством оставить хаксора в огрызках системы наедине с дырявым сервисом. Смотря чью... http://wiki.linux.edu/doku.php?id=chroot_hack >С минимальным вредом для остальной системы. Собственно, я не говорю, что чрутить смысла нет.  Нет смысла на это полагаться. >Если что VPS довольно недавно появились... Опять же кому как.  Я в production использую с 2004, было бы действительно надо -- парой лет раньше уже было что купить. >и куда жирнее по ресурсам. Для меня оно оправдано в первую очередь управляемостью и более внятным барьером.  В т.ч. по PID/UID/GID, сетевым интерфейсам, лимитам на CPU/RAM...  бишь моё время на чруты, если их не стотыщмильёнов, дороже станет, чем нарисовать контейнеров. Собственно, вчера вот и улучшал собиралку/рулилку для контейнеров OpenVZ в ALT Linux Server 4.0 :-)

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>>Который не в курсе, что обычно веб-сервер в чрут запихивать как раз >>>бессмысленно: получается по толщине эквивалент VPS, >>Неправда ваша, дяденька. Chroot можно сделать очень компактным. > Вот только толку с него обычно пропорционально. Статику относительно безопасно раздать > -- дело относительно нехитрое... >>Особенно если сервак умеет дропать права и делать чрут уже после старта. > Я в курсе и про mod_chroot тоже. >>Получается буквально сотни кб...несколько мб.Никакой VPS >>во столько не влезет. > На самом деле VPS с разделяемыми бинарниками недалеко по накладным расходам... >>>а по надёжности изоляции -- много хуже. >>Факт.Зато и делается проще и в любой системе нахаляву. > Насчёт халявы тоже не могу совсем согласиться; посмотрите альтовский chrooted, если хотите > (и тут же есть chrootuid), но и с ними -- это > изрядно возни. >>> chroot(2) не является средством безопасности by design. >>А чем он тогда по вашему является? > Средством изменить вид процессов на файловую систему, разумеется. >>Всю жизнь был средством оставить хаксора в огрызках системы наедине с дырявым сервисом. > Смотря чью... http://wiki.linux.edu/doku.php?id=chroot_hack >>С минимальным вредом для остальной системы. > Собственно, я не говорю, что чрутить смысла нет. Нет смысла на > это полагаться. >>Если что VPS довольно недавно появились... > Опять же кому как. Я в production использую с 2004, было > бы действительно надо -- парой лет раньше уже было что купить. >>и куда жирнее по ресурсам. > Для меня оно оправдано в первую очередь управляемостью и более внятным барьером. > В т.ч. по PID/UID/GID, сетевым интерфейсам, лимитам на CPU/RAM... > бишь моё время на чруты, если их не стотыщмильёнов, дороже станет, > чем нарисовать контейнеров. > Собственно, вчера вот и улучшал собиралку/рулилку для контейнеров OpenVZ в ALT Linux > Server 4.0 :-)
	Введите код, изображенный на картинке: