Necesito encontrar una configuración segura que me permita controlar el tráfico según los nombres de host.
Por ejemplo, en este momento estoy tratando con una pequeña lista de personas en una máquina pequeña. Cada una de estas personas tiene un host virtual apache con php configurado donde alojan sus páginas web personalizadas.
Mi problema surge cuando empiezan a usar "complementos php no confiables" en dichos hosts virtuales. Lo intenté todo: enable_functions, suhosin, open_basedir, es un desastre.
Lo que necesito es un aislamiento total. Quiero que cada una de estas personas esté en su propia máquina física o virtual y yo o el servidor principal que escucha el puerto 80,443 para "enrutar" el tráfico a IP y puertos específicos y minimizar el daño causado por una violación de seguridad.
¿Qué opciones tengo en cuanto a complejidad y precio?
Respuesta1
Esto es sólo un consejo:
Parece que tienes varios clientes en un solo servidor "apache/nginx" con "host virtual" en este caso particular recomiendo usar Docker con el uso de "docker-compose" y puedes hacer uso de "Redes" privado y aislado a un costo mínimo. (Siento que la prioridad por el momento será reducir costos)
De esta manera cada cliente puede construir sus propios módulos PHP, sus propiosversión PHP, cada cliente puede conectarse a supuerto propio y servidor SSHpor separado para que tengan acceso a modificar sus archivos, entre muchas otras utilidades
Y dependiendo de la arquitectura que necesites, puedes mantener una única base de datos en la máquina real (que es lo que recomiendo para IOPS y accesos al kernel) o también puedes mantener las bases de datos aisladas por cliente (ojo... si usan INNODB y no MYISAM, el consumo de cada servidor MYSQL se puede disparar dependiendo de la configuración de caché a ram)
Te deseo éxito en tu proyecto.