Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Аналог htaccess
- To: nginx-ru@xxxxxxxxx
- Subject: Re: Аналог htaccess
- From: Gena Makhomed <gmm@xxxxxxxxx>
- Date: Sun, 02 Oct 2011 15:06:08 +0300
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=csdoc.com; s=dkim; t=1317557169; bh=xFDAzqBiHOCP/MQ+ujslmxVC4iXs2n3SSTI4I0gjOKg=; h=Message-ID:Date:From:MIME-Version:To:Subject:References: In-Reply-To:Content-Type:Content-Transfer-Encoding; b=LbldWKz+b3tPRz9QltABYdG5tv/7fwSPdkbsfLDJGTLpxMPislQYfPBYbaqhUxZae c9xMsnxa7qdMBCw6Gl8PW2tX37AHowVh1n9vdNWedV0ac2NMD9M1pC1yjcC3XDOFzC QzM+POPKEjgSMUfZf5SKzloZ/F4uJbhdP3pdZMyg=
- In-reply-to: <20111001214416.GA5234@xxxxxxxxxxxxxxxxxxxx>
- References: <20111001214416.GA5234@xxxxxxxxxxxxxxxxxxxx>
On 02.10.2011 0:44, Peter Vereshagin wrote:
jail, vps, vds, zone - это синонимы,
Не согласен. Но и не важно.
в том смысле, что по своей сути это практически одинаковые технологии.
в обсуждаемом контексте настройки сервера для mass shared hosting.
но это не применимо в случае mass shared hosting.
где-то в lj видел шутки ради было запущено N тысяч джейлов. Прилагалась фотка
монитора с показаниями то ли top, то ли чего ещё. И рассуждения про длину
бороды.
джейлы запустить можно. но по ресурсам давать каждому пользователю
выделенный apache / nginx+php-fpm - это будет дорого, по сравнению
с вариантом mass shared hosting, когда все крутится на одном апаче.
делать chroot в каталог, куда пользователь может писать - это давать
возможность пользователям легко получить рутовые права на этом сервере.
можно как вариант вложить ~userX в каталог, относящийся только к userX, но без
прав userX на запись в него. И chroot туда.
чем chroot в этом случае будет отличаться от FreeBSD jail или от OpenVZ?
всеравно ведь каждому пользователю надо будет отдельный apache/nginx/php
поэтому тут остается только единственный нормальный вариант -
"написать аналог mod_aclr для второго апача и работать через него".
Не согласен, как минимум потому что не верю в open_basedir
в этом треде обсуждался вопрос как сделать так, что вся динамика
крутится на одном апаче (mass shared hosting), а вся статика
отдается напрямую через nginx, который стоит перед apache.
вариант
"написать аналог mod_aclr для второго апача и работать через него"
является на сегодняшний день единственным нормальным. потому что
все другие вариант - это или двойное проксирование всей статики,
или игнорирование nginx`ом настроек доступа из .htaccess-файлов,
что будет неприятным сюрпризом для большинства пользователей.
альтернативный вариант - вместо nginx использовать haproxy,
там можно ограничить количество запросов от nginx к backend`у,
чтобы в случае DDoS-атаки на какой-то вирутуальный хост не было
такой ситуации, что все worker-процессы апача будут заняты только
им и не смогут нормально обрабатывать запросы к другим сайтам.
или - использовать связку nginx + haproxy + apache/mod_php,
отдавая статику напрямую через nginx, игнорируя .htaccess-файлы,
и с помощью haproxy защищая backend от чрезмерных нагрузок и DDoS-атак.
те компании, которые смогут это сделать для себя - получат конкурентное
преимущество, потому что все остальные mass shared hosting будут
или очень дырявыми или очень неэффективными при отдаче статики.
Ну остальные что-нибудь ещё тем временем придумают.
времени с момента появления www прошло уже очень много,
но пока что - никто ничего лучшего не смог придумать...
--
Best regards,
Gena
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|
