Jail - webserver
Ondra Koutek
koutek at o-k.cz
Wed Apr 18 01:47:48 CEST 2007
> potrebuji radu ohledne jailu. Chtel bych v jailu provozovat apache, mysql, php a ftp. Vygooglil jsem spoustu materialu, ale kazdy se dost lisi, a tak me zajima jak to chodi v realnem provozu. Zajima me predevsim z hlediska bezpecnosti jestli:
> 1.je lepsi zvolit pro jednotlive sluzby samostatne jaily nebo je nechat v jednom?
zalezi jen na vas. z hlediska bezpecnosti bych to videl asi na 2 jaily:
jail1: MySQL
jail2: Apache + php (to by asi melo byt u apache a neni to sluzba) + ftp
(ktere asi ma mit pristup k obsahu webu)
a z praxe mohu rict, ze behat to takhle je jen pro malou zatez. jakmile
se prehoupnete pres urciti pocet pageviews, je dobre dat MySQL na
separatni server.
> 2.je lepsi kopirovat potrebne soubory aplikaci(ktere jsou zkompilovany na hostu) z hosta do jailu nebo je rovnou kompilovat do jailu (make PREFIX=/usr/jail/...)
zalezi jak si jail postavite. Logicky je diskove uspornejsi kopirovat
hotove binary, nemusite mit instalovane v kazdem jailu ruzne
developerske vci. na druhou stranu pro vas je to fuk, u dvou jailu je
rozdil zanedbatelny.
> 3.je lepsi kvuli uzivatelskym www prezentacim vytvaret v jailu realne uzivatele nebo staci virtualni uzivatele napr. Pure-FTPD umoznuje vytvaret virt. uzivatele v MySQL databazi, jejichz domovske adresare by byli korenem jejich webu
Osobne ziji v presvedceni ze cim mensi prava tim lepe, takze kazdy
systemovy uzivatel je presne ten jeden navic nez potrebuji. na druhou
stranu nezapomente, ze FTP mapuje uzivatele na jednoho systemoveho,
takze pokud je v nem dira, ma pak utocnik pristup ke vsem souborum vsech
uzivatelu.
Osobne bych se na vasem miste budto nepatlal s jaily a udelal normalni
jeden server (zjednodusite si zivot a stejnou sluzbu vam udela i pf) a
nebo pokud uz jaily opravdu chcete, tak bych zvazil variantu "co web to
jail" kdy alespon zajistite kazdemu uzivateli oddelene prostredi,
vlastni PHP a apache a hlavne jeden uzivatel nema pristup k datum
druheho.
Nicmene zalezi na nasazeni.
Ondra
More information about the Users-l
mailing list