Skocz do zawartości
Zaloguj się, aby obserwować  
arekm

Serwery www

Polecane posty

Witam,

 

Jakich używacie serwerów www?

 

Zapewne większość apache więc pojawia się od razu kolejne pytanie - chrootujecie każdego klienta i każdemu osobny httpd, php jako cgi czy może jakieś inne rozwiązanie?

 

Jak do tej pory nie udało mi się znaleźć zadowalającego rozwiązania problemu bezpieczeństwa serwera www.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie ma idealnego bezp[iecznego rozwiazania, bezpieczenstwo relatywne mozna osiagnac warstwowo nakladajac je na maszyne warstwowo na kilku poziomach :D

 

Wiekszosc naszychm,maszyn chodzi w oparciu o apache i chroot/phpsuexec dla userow.

 

Mamy dwa serwery na Solaris oraz jeden na zeusie ezperymentalny. [http://www.zeus.com/products/zws/]

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

kufel - niestety, to jest dość kiepskie rozwiązanie - mnie interesuje obsługa choćby mod_python czego już suexecem ani tego typu pomysłami się nie obsłuży.

 

Jedyne rozwiązanie to zapewniające to chrooty per klient i osobne httpd'y - niestety, równie beznadzieje z punktu widzenia wydajności.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

PYtales sie czego uzywamy,

jednym slowem okresliles jako kiepskie ogromna wiekszosc serwerow www na swiecie ;]

 

Kazdy serwer to pewnego rodzaju kompromis. Chcesz miec bezpieczny box, trzeba go odlaczyc od sieci i zamknac w sejfie.

Wszystko zalezy do celu do jakiego serwer ma byc uzywany, wybrac technologie i zapewnic jej najwieksze mozliwe "bezpieczenstwo" nie kompromisujac funkcji/przeznaczenia.

 

co myslisz o tzw VDS lub VPS ? czy tez jail w freebsd np.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dobroć/kiepskość rozwiązania nie zależy od ilości. To rozwiązanie jest dość specyficzne - spełnia swoje założenia dla zwykłych htmli i php jedynie.

 

Swoją drgoą robiłeś testy php via suexec vs mod_php? U mnie mod_suphp dawał kiepskie rezultaty w stosunku do współdzielonego modułu.

 

Wirtualne maszynki są niezłe dla większych klientów, ale dla takich zwykłych, którym potrzeba tylko paru wirtualek, poczty etc to drobna przesada. Podobnie jail (btw. istnieje też bsdowy jail pod Linuksa).

 

Do moich zastosowań wystarczyła by separacja użytkowników per UID ale tego w apache zapewnić się nie da (chcąc mieć np. mod_python).

 

Wygląda na to, że (prawie) nikt takiego rozwiązania nie ma (poza pół-działającym metuxmpm, peruser czy perchild). Ciekawe.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×