forum.opennet.ru - "Изолированные процессы" (14)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Изолированные процессы"

Форумы Открытые системы на сервере (Др. сетевые сервисы / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Изолированные процессы"	+/–
Сообщение от mitsumoto (ok) on 03-Июн-10, 22:08
Есть мощный сервер на котором крутиться Web сайт, что бы ресуры не простаивали решил на этот же сервак закинуть ещё одни Web сайт. У меня есть подозрения, что PHP скрипт одного сайта не очень надёжные и поэтому при взломе первого сайта, можно будет добраться до второго. Может воспользоваться Jail'ом для создания двух виртуальных машин, на каждую по сайту закинуть? Но как тогда сделать нарезку железа, что бы при взломе одной ВМ, нельзя было загрузить ЦП сервака? У Jail'а есть патчи для нарезки железа, но это не выход... Обратил внимание, что некоторые хостеры предоставляют, хостинг на апаче, короче я могу просматрить только свою папку а, другие сайты просто невижу, хотя знаю точно, что они есть...ХЗ как это у них работает... Может быть есть у кого нить предложения по созданию изолированных процессов? Так что бы два и более сайта крутились на одном серваке. И при взломе одного не было доступа к другому. P.S. FreeBSD 6.4 + nginx = могу сменить конфигруцию...
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Изолированные процессы, mitsumoto, 11:25 , 05-Июн-10, (1)

Изолированные процессы, Аноним, 12:58 , 05-Июн-10, (2)

Изолированные процессы, sHaggY_caT, 19:31 , 05-Июн-10, (4)

Изолированные процессы, Аноним, 20:07 , 05-Июн-10, (8)

Изолированные процессы, sHaggY_caT, 11:16 , 06-Июн-10, (12)

Изолированные процессы, sHaggY_caT, 19:27 , 05-Июн-10, (3)

Изолированные процессы, Аноним, 19:34 , 05-Июн-10, (5)

Изолированные процессы, sHaggY_caT, 19:41 , 05-Июн-10, (6)
Изолированные процессы, sHaggY_caT, 19:42 , 05-Июн-10, (7)

Изолированные процессы, mitsumoto, 02:10 , 06-Июн-10, (9)

Изолированные процессы, Аноним, 03:40 , 06-Июн-10, (10)
Изолированные процессы, sHaggY_caT, 11:10 , 06-Июн-10, (11)

Изолированные процессы, mitsumoto, 21:01 , 06-Июн-10, (13)

Изолированные процессы, PavelR, 22:04 , 06-Июн-10, (14)

Сообщения по теме [Сортировка по времени | RSS]

1. "Изолированные процессы" +/–

Сообщение от mitsumoto (ok) on 05-Июн-10, 11:25

???

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Изолированные процессы" +/–

Сообщение от Аноним (??) on 05-Июн-10, 12:58

это элементарные вещи которые делаются: разграничением прав, использованием fast-cgi, включением в php: safe_mode и open_basedir, в апаче: компиляцией с suexec и выносом каждого сайта в свой VirtualHost и собственным пользователем, mpm itk. тема обширна и литературы много, гугл вам в помощь.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Изолированные процессы" +/–

Сообщение от sHaggY_caT (ok) on 05-Июн-10, 19:31

>это элементарные вещи которые делаются: разграничением прав, использованием fast-cgi, включением в php:
>safe_mode
С ним половина сайтов нормально не работает
> и open_basedir,
Это вообще must have, но решение исключительно PHP, не годится, это не изоляция, а решение родовых проблем PHP
> в апаче: компиляцией с suexec и выносом каждого
>сайта в свой VirtualHost и собственным пользователем, mpm itk.
prefork + Nginx рулят на больших нагрузках, если требуется большая стабильность, и нужен Apache

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Изолированные процессы" +/–

Сообщение от Аноним (??) on 05-Июн-10, 20:07

>>это элементарные вещи которые делаются: разграничением прав, использованием fast-cgi, включением в php:
>>safe_mode
>
>С ним половина сайтов нормально не работает
ну что поделать с криворукими писателями. какой язык такие у него и писатели. хотя, например, многие кмс-ки ругаются при установке, но работают нормально.
>> и open_basedir,
>
>Это вообще must have, но решение исключительно PHP, не годится, это не
>изоляция, а решение родовых проблем PHP
решение рядовых проблем это скорее safe_mode. кстати safe_mode собираются убрать в php6 и останется только open_basedir.
>prefork + Nginx рулят на больших нагрузках, если требуется большая стабильность, и
>нужен Apache
а это уже ответ на следующий, еще не заданный, вопрос: "как оптимизировать, что бы выжать из сервера побольше"

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Изолированные процессы" +/–

Сообщение от sHaggY_caT (ok) on 06-Июн-10, 11:16

>>> и open_basedir,
>>
>>Это вообще must have, но решение исключительно PHP, не годится, это не
>>изоляция, а решение родовых проблем PHP
>
>решение рядовых проблем это скорее safe_mode. кстати safe_mode собираются убрать в php6
>и останется только open_basedir.
И правильно сделают, safe_mod все равно ни от чего не защищает, и запросто обходится, в отличае от патча Сухосина, или, например (в ряде случаев, в зависимости от правил),SElinux, да еще и половина CMS с ним не работают, и явно требуют отключения.
Увы, Open_basedir тоже не всегда применим: его нельзя, например, использовать, если нужно запускать какие-то бинари вне корня ограничений (а в chroot тем более их нет смысла помещать).
Но вообще, для большинства сайтов, нужно отключать и system (всякие exec'ки) функции PHP.
Возьмите тестовый хостинг у любого из лидеров Российского хостинга, например, Мастерхост, РБК, РуЦентр, и посмотрите, как собран у них (и что в нем отключено) PHP.
Только все это на изоляцию пользователей друг от друга, которую как раз и дают контейнеры (не Jails) никак не тянет, так, решение врожденных проблем PHP.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Изолированные процессы" +/–

Сообщение от sHaggY_caT (ok) on 05-Июн-10, 19:27

>[оверквотинг удален]
>просматрить только свою папку
>а, другие сайты просто невижу, хотя знаю точно, что они есть...ХЗ как
>это у них работает...
>
>Может быть есть у кого нить предложения по созданию изолированных процессов? Так
>что бы два и более сайта крутились
>на одном серваке. И при взломе одного не было доступа к другому.
>
>
>P.S. FreeBSD 6.4 + nginx = могу сменить конфигруцию...
Под FreeBSD Вашу задачу нормально решить нельзя (местным троллям, сто раз обсуждали "почему нельзя", давайте не затевать лиший флейм), только разве что с помощью VDS Manager, но кроме самого разработчика(firstvds.ru) это решение, кажется, никто не использует на количестве инсталляций больше 5-10 серверов (в отличае от других решений).
Еще у РуЦентра есть своя разработка вместо Jails, которой они не хотят делиться с миром.
Хорошо решается с помощью более продвинутых, чем Jails (которые отстали уже давно и на много лет) контейнеров, на выбор из бесплатных: OpenVZ, LXC, Solaris Containers.
Личная рекомендация: OpenVZ.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Изолированные процессы" +/–

Сообщение от Аноним (??) on 05-Июн-10, 19:34

>Под FreeBSD Вашу задачу нормально решить нельзя (местным троллям, сто раз обсуждали
>"почему нельзя", давайте не затевать лиший флейм), только разве что с
>помощью VDS Manager,
что-то вы резко похожи после таких фраз на троля.
>но кроме самого разработчика(firstvds.ru) это решение, кажется, никто
>не использует на количестве инсталляций больше 5-10 серверов (в отличае от
>других решений).
пускай вам больше не кажется, используют и 20 и 30 серверов и больше :) и не только сами разработчики.
>Хорошо решается с помощью более продвинутых, чем Jails (которые отстали уже давно
>и на много лет) контейнеров, на выбор из бесплатных: OpenVZ, LXC,
>Solaris Containers.
>
>Личная рекомендация: OpenVZ.
любите же вы огород городить...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Изолированные процессы" +/–

Сообщение от sHaggY_caT (ok) on 05-Июн-10, 19:41

>>но кроме самого разработчика(firstvds.ru) это решение, кажется, никто
>>не использует на количестве инсталляций больше 5-10 серверов (в отличае от
>>других решений).
>
>пускай вам больше не кажется, используют и 20 и 30 серверов и
>больше :) и не только сами разработчики.
Сравните с маштабами использования других решений (имхо, будет больше даже на FreeBSD в одной только сети РуЦентра), не говоря уже об PVC с их _миллионами_ контейнеров.
>>Хорошо решается с помощью более продвинутых, чем Jails (которые отстали уже давно
>>и на много лет) контейнеров, на выбор из бесплатных: OpenVZ, LXC,
>>Solaris Containers.
>>
>>Личная рекомендация: OpenVZ.
>
>любите же вы огород городить...
Не правда, огород был бы, если бы применялась виртуализация. Мы вот на OVZ предлагаем решение именно по щаред-хостингу, и Ру-Центр(третий по величине шаред-хостинг оператор рунета) тоже не считает, что контейнеры это "огород" для такой задачи.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Изолированные процессы" +/–

Сообщение от sHaggY_caT (ok) on 05-Июн-10, 19:42

>>Под FreeBSD Вашу задачу нормально решить нельзя (местным троллям, сто раз обсуждали
>>"почему нельзя", давайте не затевать лиший флейм), только разве что с
>>помощью VDS Manager,
>
>что-то вы резко похожи после таких фраз на троля.
Это не троллинг, это _опыт_

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Изолированные процессы" +/–

Сообщение от mitsumoto (ok) on 06-Июн-10, 02:10

VDSmanager - самая лучшая ВМ для FreeBSD, это факт!
Но, есть вселеский недостаток, закрытость кода, разработчики могли оставить бэкдур,
если ещё его нет, учитывая частоту бновления ПО, то могут сделать в любой момент, под
видом какого нить упдейта...
Так, между разговором, может кто расскажет о процедурах тестированя PHP скриптов, на наличие уязвимых мест...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Изолированные процессы" +/–

Сообщение от Аноним (??) on 06-Июн-10, 03:40

>Так, между разговором, может кто расскажет о процедурах тестированя PHP скриптов, на
>наличие уязвимых мест...
нанимаете специалиста и он проводит аудит кода.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Изолированные процессы" +/–

Сообщение от sHaggY_caT (ok) on 06-Июн-10, 11:10

>VDSmanager - самая лучшая ВМ
1. Это не VM, это контейнеры (тоже, что и Jails, OVZ, PVC, LXC, Solaris Containers)
> для FreeBSD, это факт!
2. Имхо, под VmWare ESX фря работает гораздо лучше (и это единственное, под чем она работает, под нагрузками, хорошо)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Изолированные процессы" +/–

Сообщение от mitsumoto (ok) on 06-Июн-10, 21:01

Как насчёт такой связки
1) поднять несколько экземпляров Apache от разных пользователей.
2) поднять один Apache и несколько FastCGI серверов для PHP
3) поднять Apache и настроить виртуальный хостинг с разграничением прав
Или так
Создам пару ВМ через Jail на каждую по сайту закину
А, в качестве лимитова login.conf
Что, скажите?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Изолированные процессы" +/–

Сообщение от PavelR (??) on 06-Июн-10, 22:04

>Как насчёт такой связки
>1) поднять несколько экземпляров Apache от разных пользователей.
жрет много памяти.
>2) поднять один Apache и несколько FastCGI серверов для PHP
apache+mod_fastcgi/mod_fcgid (я не знаю какой лучше) - он рулит процессами fastcgi, что маленько может поэкономить память, за счет редкопосещаемых сайтов
>3) поднять Apache и настроить виртуальный хостинг с разграничением прав
имеется ввиду apache + mod_php ? смешно...
>
>Или так
>Создам пару ВМ через Jail на каждую по сайту закину
памяти надо еще больше, чем "несколько экземпляров апача от разных пользователей", но дает пользователям больше возможностей... юзер сможет своих даймонов от рута запускать, и т д ...
>А, в качестве лимитова login.conf
>
>Что, скажите?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Изолированные процессы"	+/–
Сообщение от mitsumoto (ok) on 05-Июн-10, 11:25
???
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Изолированные процессы"	+/–
	Сообщение от Аноним (??) on 05-Июн-10, 12:58
	это элементарные вещи которые делаются: разграничением прав, использованием fast-cgi, включением в php: safe_mode и open_basedir, в апаче: компиляцией с suexec и выносом каждого сайта в свой VirtualHost и собственным пользователем, mpm itk. тема обширна и литературы много, гугл вам в помощь.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Изолированные процессы"	+/–
	Сообщение от sHaggY_caT (ok) on 05-Июн-10, 19:31
	>это элементарные вещи которые делаются: разграничением прав, использованием fast-cgi, включением в php: >safe_mode С ним половина сайтов нормально не работает > и open_basedir, Это вообще must have, но решение исключительно PHP, не годится, это не изоляция, а решение родовых проблем PHP > в апаче: компиляцией с suexec и выносом каждого >сайта в свой VirtualHost и собственным пользователем, mpm itk. prefork + Nginx рулят на больших нагрузках, если требуется большая стабильность, и нужен Apache
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "Изолированные процессы"	+/–
	Сообщение от Аноним (??) on 05-Июн-10, 20:07
	>>это элементарные вещи которые делаются: разграничением прав, использованием fast-cgi, включением в php: >>safe_mode > >С ним половина сайтов нормально не работает ну что поделать с криворукими писателями. какой язык такие у него и писатели. хотя, например, многие кмс-ки ругаются при установке, но работают нормально. >> и open_basedir, > >Это вообще must have, но решение исключительно PHP, не годится, это не >изоляция, а решение родовых проблем PHP решение рядовых проблем это скорее safe_mode. кстати safe_mode собираются убрать в php6 и останется только open_basedir. >prefork + Nginx рулят на больших нагрузках, если требуется большая стабильность, и >нужен Apache а это уже ответ на следующий, еще не заданный, вопрос: "как оптимизировать, что бы выжать из сервера побольше"
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	12. "Изолированные процессы"	+/–
	Сообщение от sHaggY_caT (ok) on 06-Июн-10, 11:16
	>>> и open_basedir, >> >>Это вообще must have, но решение исключительно PHP, не годится, это не >>изоляция, а решение родовых проблем PHP > >решение рядовых проблем это скорее safe_mode. кстати safe_mode собираются убрать в php6 >и останется только open_basedir. И правильно сделают, safe_mod все равно ни от чего не защищает, и запросто обходится, в отличае от патча Сухосина, или, например (в ряде случаев, в зависимости от правил),SElinux, да еще и половина CMS с ним не работают, и явно требуют отключения. Увы, Open_basedir тоже не всегда применим: его нельзя, например, использовать, если нужно запускать какие-то бинари вне корня ограничений (а в chroot тем более их нет смысла помещать). Но вообще, для большинства сайтов, нужно отключать и system (всякие exec'ки) функции PHP. Возьмите тестовый хостинг у любого из лидеров Российского хостинга, например, Мастерхост, РБК, РуЦентр, и посмотрите, как собран у них (и что в нем отключено) PHP. Только все это на изоляцию пользователей друг от друга, которую как раз и дают контейнеры (не Jails) никак не тянет, так, решение врожденных проблем PHP.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

3. "Изолированные процессы"	+/–
Сообщение от sHaggY_caT (ok) on 05-Июн-10, 19:27
>[оверквотинг удален] >просматрить только свою папку >а, другие сайты просто невижу, хотя знаю точно, что они есть...ХЗ как >это у них работает... > >Может быть есть у кого нить предложения по созданию изолированных процессов? Так >что бы два и более сайта крутились >на одном серваке. И при взломе одного не было доступа к другому. > > >P.S. FreeBSD 6.4 + nginx = могу сменить конфигруцию... Под FreeBSD Вашу задачу нормально решить нельзя (местным троллям, сто раз обсуждали "почему нельзя", давайте не затевать лиший флейм), только разве что с помощью VDS Manager, но кроме самого разработчика(firstvds.ru) это решение, кажется, никто не использует на количестве инсталляций больше 5-10 серверов (в отличае от других решений). Еще у РуЦентра есть своя разработка вместо Jails, которой они не хотят делиться с миром. Хорошо решается с помощью более продвинутых, чем Jails (которые отстали уже давно и на много лет) контейнеров, на выбор из бесплатных: OpenVZ, LXC, Solaris Containers. Личная рекомендация: OpenVZ.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "Изолированные процессы"	+/–
	Сообщение от Аноним (??) on 05-Июн-10, 19:34
	>Под FreeBSD Вашу задачу нормально решить нельзя (местным троллям, сто раз обсуждали >"почему нельзя", давайте не затевать лиший флейм), только разве что с >помощью VDS Manager, что-то вы резко похожи после таких фраз на троля. >но кроме самого разработчика(firstvds.ru) это решение, кажется, никто >не использует на количестве инсталляций больше 5-10 серверов (в отличае от >других решений). пускай вам больше не кажется, используют и 20 и 30 серверов и больше :) и не только сами разработчики. >Хорошо решается с помощью более продвинутых, чем Jails (которые отстали уже давно >и на много лет) контейнеров, на выбор из бесплатных: OpenVZ, LXC, >Solaris Containers. > >Личная рекомендация: OpenVZ. любите же вы огород городить...
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "Изолированные процессы"	+/–
	Сообщение от sHaggY_caT (ok) on 05-Июн-10, 19:41
	>>но кроме самого разработчика(firstvds.ru) это решение, кажется, никто >>не использует на количестве инсталляций больше 5-10 серверов (в отличае от >>других решений). > >пускай вам больше не кажется, используют и 20 и 30 серверов и >больше :) и не только сами разработчики. Сравните с маштабами использования других решений (имхо, будет больше даже на FreeBSD в одной только сети РуЦентра), не говоря уже об PVC с их _миллионами_ контейнеров. >>Хорошо решается с помощью более продвинутых, чем Jails (которые отстали уже давно >>и на много лет) контейнеров, на выбор из бесплатных: OpenVZ, LXC, >>Solaris Containers. >> >>Личная рекомендация: OpenVZ. > >любите же вы огород городить... Не правда, огород был бы, если бы применялась виртуализация. Мы вот на OVZ предлагаем решение именно по щаред-хостингу, и Ру-Центр(третий по величине шаред-хостинг оператор рунета) тоже не считает, что контейнеры это "огород" для такой задачи.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "Изолированные процессы"	+/–
	Сообщение от sHaggY_caT (ok) on 05-Июн-10, 19:42
	>>Под FreeBSD Вашу задачу нормально решить нельзя (местным троллям, сто раз обсуждали >>"почему нельзя", давайте не затевать лиший флейм), только разве что с >>помощью VDS Manager, > >что-то вы резко похожи после таких фраз на троля. Это не троллинг, это _опыт_
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "Изолированные процессы"	+/–
	Сообщение от mitsumoto (ok) on 06-Июн-10, 02:10
	VDSmanager - самая лучшая ВМ для FreeBSD, это факт! Но, есть вселеский недостаток, закрытость кода, разработчики могли оставить бэкдур, если ещё его нет, учитывая частоту бновления ПО, то могут сделать в любой момент, под видом какого нить упдейта... Так, между разговором, может кто расскажет о процедурах тестированя PHP скриптов, на наличие уязвимых мест...
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	10. "Изолированные процессы"	+/–
	Сообщение от Аноним (??) on 06-Июн-10, 03:40
	>Так, между разговором, может кто расскажет о процедурах тестированя PHP скриптов, на >наличие уязвимых мест... нанимаете специалиста и он проводит аудит кода.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	11. "Изолированные процессы"	+/–
	Сообщение от sHaggY_caT (ok) on 06-Июн-10, 11:10
	>VDSmanager - самая лучшая ВМ 1. Это не VM, это контейнеры (тоже, что и Jails, OVZ, PVC, LXC, Solaris Containers) > для FreeBSD, это факт! 2. Имхо, под VmWare ESX фря работает гораздо лучше (и это единственное, под чем она работает, под нагрузками, хорошо)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	13. "Изолированные процессы"	+/–
	Сообщение от mitsumoto (ok) on 06-Июн-10, 21:01
	Как насчёт такой связки 1) поднять несколько экземпляров Apache от разных пользователей. 2) поднять один Apache и несколько FastCGI серверов для PHP 3) поднять Apache и настроить виртуальный хостинг с разграничением прав Или так Создам пару ВМ через Jail на каждую по сайту закину А, в качестве лимитова login.conf Что, скажите?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	14. "Изолированные процессы"	+/–
	Сообщение от PavelR (??) on 06-Июн-10, 22:04
	>Как насчёт такой связки >1) поднять несколько экземпляров Apache от разных пользователей. жрет много памяти. >2) поднять один Apache и несколько FastCGI серверов для PHP apache+mod_fastcgi/mod_fcgid (я не знаю какой лучше) - он рулит процессами fastcgi, что маленько может поэкономить память, за счет редкопосещаемых сайтов >3) поднять Apache и настроить виртуальный хостинг с разграничением прав имеется ввиду apache + mod_php ? смешно... > >Или так >Создам пару ВМ через Jail на каждую по сайту закину памяти надо еще больше, чем "несколько экземпляров апача от разных пользователей", но дает пользователям больше возможностей... юзер сможет своих даймонов от рута запускать, и т д ... >А, в качестве лимитова login.conf > >Что, скажите?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору