» »

Alternativno ( != Apache) web strežniki - kako imeti vsak virtualhost na svojem userju ?

Alternativno ( != Apache) web strežniki - kako imeti vsak virtualhost na svojem userju ?

Brane2 ::

Zanima me, kako recimo pri neki grupi virtual hosto ločiti posamezne hoste med seboj, tako da uporabniki enega ne morejo do datotek drugega ?

Na APacheju obstajajo mpm moduli za take zadeve, recimo itk in peruser, kjer imm lahko za vak virtualni host N instanc serverja, ki laufajo v vlogi tega userja.

Kako to narediti s lighttpdjem in nginxom ?

Tako na uč bi reku, da jim je ta vloga nedosegljiva, saj so orientirani na to,d a laufajo brez forkanja in vse zahteve uredijo sami in jih ne predajojo svojim childom.

Ja, lahko bi laufal več strežnikov s svojimi config filei- za vsak user sovjega, vendar bi ti zahtevali lasten IP ali vsaj port, to pa ne bi rad.
On the journey of life, I chose the psycho path.

Red_Mamba ::

nadzorna plošča za upravljanje strežnika to naredi

samo niso poceni pa tudi dvomim da je kakšna opensource rešitev že tako močna kot profi nadzorne plošče, če se že najde

jaz imam na strežniku Plesk 8.2 pa je prava malica za upravljat strežnik
[st.slika https://img.shields.io/badge/Slo-Tech-green.svg test]
Linkedin >> http://goo.gl/839Aua
Mamba's Crypto & ICO's: https://t.me/joinchat/AAAAAExTkO4P4UDy0fIZdg

Red_Mamba ::

zdaj sem se še spomnil

saj ti ubistvu z FTP dostopom zakleneš uporabniku mapo na njegov hosting root, SSH-ja mu pa pač ne dovoliš (če gre za linux), tako tudi nadzorne plošče upravljajo pravice dostopov
[st.slika https://img.shields.io/badge/Slo-Tech-green.svg test]
Linkedin >> http://goo.gl/839Aua
Mamba's Crypto & ICO's: https://t.me/joinchat/AAAAAExTkO4P4UDy0fIZdg

Brane2 ::

Že ampak ta kontrolna plošča saokrmili strežnik, ne more mu dati možnosti, ki jih že v štartu nima.

vEm,d a imajo mnogi strežniki opcijo laufanja cgi-bin pod določenim userjem, samo redki so, ki znajo cel site laufat pod svojim userjem.

Verjetno ta tvoja plošča to zna s Apachejem, vprašanej kako je z drugimi, "lean and mean" strežniki ?

Fino se mi zdi paoč vsakemu uporabniku zagotoviti privatno okolje, v katerem samo ti lahko vidiš stvari na svojem strežniku in i ni treba skrbeti, da ti bo kdo s strani "špegal" v mapo...
On the journey of life, I chose the psycho path.

Brane2 ::

saj ti ubistvu z FTP dostopom zakleneš uporabniku mapo na njegov hosting root, SSH-ja mu pa pač ne dovoliš (če gre za linux), tako tudi nadzorne plošče upravljajo pravice dostopov


Ja, ampak če tvoj http server dela vse virtual hoste, to pomeni da moraš imeti enega userja, ki vidi v vse mape vseh hostov- tudi če jih samo bere.

To pa pomeni da tam ne mroeš imeti ravno fajlov, ki naj bi bili privat...
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

Red_Mamba ::

ponavadi gre na linuxu to tako

domena1.com ima root na /srv/www/domena1.com/httpdocs

FTP user klient1 ima root direktorij v /srv/www/domena1.com
in vse mape/direktoriji so njegova last

kar pomeni da nižje od tega ne more
ne more sploh prit v /srv/www



enako gre za druge userje, se pravi med samo ne morejo nič, kljub temu, da http proces teče pod 1 userjem.
razen seveda če so full pravice na datoteke nastavljene, ampak to je bedarija lastnika
[st.slika https://img.shields.io/badge/Slo-Tech-green.svg test]
Linkedin >> http://goo.gl/839Aua
Mamba's Crypto & ICO's: https://t.me/joinchat/AAAAAExTkO4P4UDy0fIZdg

Brane2 ::

To je bolj kilava tolažba, sploh če gre za koga, ki ima tudi FTP dostop v kako do teh map.

Poleg tega AFAIK inicialna trditev ni čisto res.


Ni nujno, da imaš dovoljenja za vse mape na poti do cilja, če poznaš cilj vnaprej.
On the journey of life, I chose the psycho path.

b ::

Ti "lightweight" strežniki itak nimajo ponavadi v sebi interpreterjev (PHP, Perl,...), ampak poženeš interpreter kot fastcgi ali kaj podobnega. Za statične fajle itak ni problem, ker iz njih uporabniki ne morejo šarit po sistemu in jih zato lahko servira skupni httpd.

Torej moraš za vsakega userja (site ali več sajtov) pognat svoj interpreter, ki teče samo pod tem uporabniškim imenom. Če imaš na strani več različnih aplikacij, boš moral uporabljati več fastcgi-jev, za vsak jezik svojega. Od tu naprej imaš na voljo se chrootanje ipd. Prinese pa to potem tudi nekaj dela z vzdrževanem chrootov. Se že nekaj časa spravljam k temu, ampak saj vemo kako je s projekti, ki nimajo deadline-a... Po mojem nisi pri tem nič na slabšem kot s tem, da imaš za vsak UID nekaj instanc apacheja, vprašanje pa je, a se s tem splača ukvarjati, če nimaš nekega masivnega hostinga kjer boš na račun manjšega,hitrejšega,... httpd-ja prišparal kakšno mašino...

Zgodovina sprememb…

  • spremenilo: b ()

Daedalus ::

Zanima me, kako recimo pri neki grupi virtual hosto ločiti posamezne hoste med seboj, tako da uporabniki enega ne morejo do datotek drugega ?

Jah, na "statični" vsebini (datoteke, folderji) pač paziš na dovoljenja/chrootaš, pri dinamični pa lavfaš fastcgi interpreter za vsakega userja posebej. Nisem se kaj dosti ukvarjal s tem, sam IIRC se običajno to pač tako reši. Pa maš lepo ločene userje in je mir.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

Brane2 ::

chroot nikoli ni bil ravno učinkovita zaščita pri userjih, ki imajo tudi ftp dostop.
On the journey of life, I chose the psycho path.

trnvpeti ::

in kaj je ucinkovita zascita?

Brane2 ::

good file access flags so gotovo boljša zaščita od zgolj chroota.
On the journey of life, I chose the psycho path.

b ::

Sej lahko tudi FTP chrootas. Za proftpd in pure-ftpd vem, da je sila enostavno. Vsekakor je bolje imeti še en sloj zaščite več kot pa manj.

Brane2 ::

Lahko, ampak ravno v navodilih za proftpd piše da ne računat na to kot neko resno zaščito.
On the journey of life, I chose the psycho path.

vejnovic ::

Primeri nastavitev apache strežnika na debianu:
Name based virtual host

IP based virtual Host
Za določitev različnih portov in IP-jev bodi pozoren na vrstico "Listen".... :)

Zgodovina sprememb…

  • spremenil: vejnovic ()

Brane2 ::

To vem in to v bistvu ni relevantno tu.

Jasno je, da imaš lahko virtualne hoste bodisi na samosotjnem IPju ali vsaj portu ali pa na istem ipju in so pač "name based".

Ampak to še ni neposredno povezano z varnostjo posameznih hostov pred nepoobolščanim vpogledom ali spremembo datotek.
On the journey of life, I chose the psycho path.

vejnovic ::

...samo niso poceni pa tudi dvomim da je kakšna opensource rešitev že tako močna kot profi nadzorne plošče, če se že najde... |O

Samo nekaj primerov:
ISP Config
Easy Hosting Control Panel

vejnovic ::

...Ampak to še ni neposredno povezano z varnostjo posameznih hostov pred nepoobolščanim vpogledom ali spremembo datotek...

Pravice na strežniku lahko nastaviš tudi v datoteki ".htaccess":
Primer nastavitve.

Brane2 ::

Tudi to je res, vendar v bistvu nepomembno za ta primer.
On the journey of life, I chose the psycho path.

Brane2 ::

Poleg tega pa nekateri CMS sistemi hočejo imeti vklopljeno možnbost htaccessa in dostop do kot sem dojel praktično vseh nastavitev.

To pa pomeni, da tega ne moreš kar tako enostavno izklopiti v takih primerih z AllowOverride
On the journey of life, I chose the psycho path.

vejnovic ::

...Poleg tega pa nekateri CMS sistemi hočejo imeti vklopljeno možnbost htaccessa in dostop do kot sem dojel praktično vseh nastavitev...

Vsak CMS lahko imaš na svojem vhostu - kar pomeni, da dostopa samo do .htaccessa v tem vhostu. Do nastavitev izven vhosta pa CMSji načeloma ne dostopajo.

Red_Mamba ::

tale ISP config se še najbolj približa profi nadzornim ploščam, bom preizkusil ko bo prilika
[st.slika https://img.shields.io/badge/Slo-Tech-green.svg test]
Linkedin >> http://goo.gl/839Aua
Mamba's Crypto & ICO's: https://t.me/joinchat/AAAAAExTkO4P4UDy0fIZdg

Brane2 ::

Do nastavitev izven vhosta pa CMSji načeloma ne dostopajo.


Ta "načeloma" je problematičen. "Načeloma" sploh ni dovolj dobro.

Poleg tega, CMS sploh ne dostopa ( "načeloma",s eveda :D ) .htaccessu ampak je Apache tako nastavljen, da ga pobere sam in uporabi zase.

CMS ga sploh ne vidi. No, vsaj na Drupalu, s katerim se trenutno igram, imam tako nastavitev.

Stvar je hotel, da določen htaccess premaknem v določeno mapo, ampak strežnik je tako nastavljen, da ta file lahko preko Apacheja vidi samo on.
On the journey of life, I chose the psycho path.

Red_Mamba ::

inštaliral ISP config brez problema, doinštalirati sem mogel samo quota progy.
sicer povozi nastavitve, ki so bile prej nastavljene ampak to se da hitro nazaj nastavit.

edino moti me da ne moreš FTP userjev dodajat preko nadzorne plošče, ali pa jaz še nimam vredu skonfigurirano


za domači strežnik čist uporabna zadeva IMO
[st.slika https://img.shields.io/badge/Slo-Tech-green.svg test]
Linkedin >> http://goo.gl/839Aua
Mamba's Crypto & ICO's: https://t.me/joinchat/AAAAAExTkO4P4UDy0fIZdg

Zgodovina sprememb…



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Apache vprašanje - virtual host

Oddelek: Programska oprema
16877 (720) Goldee
»

Apache - localhost JA, IP naslov NE

Oddelek: Omrežja in internet
182642 (2501) ManDriver
»

XAMPP in virtual host

Oddelek: Izdelava spletišč
122054 (1872) Veron
»

VirtualHost oz. navidezne domene v apache

Oddelek: Izdelava spletišč
252625 (2323) Jackass
»

Apache

Oddelek: Izdelava spletišč
111374 (1258) Skrat

Več podobnih tem