ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА














     АРХИВ :: Apache-Talk
Apache-Talk mailing list archive (apache-talk@lists.lexa.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Re[3]: [apache-talk] chroot & apache virtual servers





On Fri, 14 Dec 2001, Yuri A. Kabaenkov wrote:

> IV>>  Ясное дело , что он может класть туда как простые html так и php или
> IV>> perl скрипты .

Совершенно неясно - он может это делать только если ты ему разрешишь :-)

> IV>>  Естественно, что  с помощью скриптов он может вычитывать содержимое 
>файлов
> IV>>  находящихся за пределами его домашней ftp директории.
> IV>>  Что нужно сделать чтобы этого не происходило?
> IV>>  FreeBSD-4.4-RELEASE apache-1.3.22rus собран с php-4.0.6
> VG> делай виртуальные машины с помощью jail.
> VG> работает просто на 5.
>
> Хм, ну а например. Если у меня на серверере 500+ вирт хостов. Для
> каждого jail пускать?

Нет. Если у тебя массовый хостинг, то не нужно допукать ничего кроме
статики. Ну, в крайнем случае, suexec с chroot'ом в пузе или даже отдельные
серера для "особо достойных". Linux, к примеру, на машинке с парой GiB
RAM может без проблем работать с 50000-60000 процессов (естественно не
слишком многие могут быть активны одновременно :-), так что можно и 500
Apache'й завести - хотя это уже похоже на упражнение в мазохизме, чем на
хостинг...

> Если еще пхп скрипты я огруничу с помощью doc_root и т.д.
> То вот как сделать chroot перлу, но что мог модули подключать?
>
Ну можно опять-таки "перепривить" (mount --bind) все perl'овое хозяйство
в chroot, но потом придется туда "затягивать" еще и MySQL небось...
Что, конечно, той же "перепрививкой" делается - но тогда у тебя
появляется еще одна головная боль. В общем "добром это не кончится"...
Думашь почему бесплатные хостинги не предоставляют, в большинстве своем,
даже XSSI и PHP ? Даже рисковые ребята с hut.ru не рискнули предоставить
ничего более, чем XSSI, PHP и CGI (и по запросу - MySQL) ? Которые
все-таки кое-как закрываются (хотя дыр в этой защите немало - хотя
периодически они и закрываются, после чего находятся новые: такой "аналог
sendmail'а в web-строительстве")... Все остальное уже куда сложнее...

=============================================================================
=               Apache-Talk@lists.lexa.ru mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =



 




Copyright © Lexa Software, 1996-2009.