Preciso descobrir uma configuração segura que me permita controlar o tráfego com base em nomes de host.
Por exemplo, no momento estou lidando com uma pequena lista de pessoas em uma máquina pequena. Cada uma dessas pessoas tem um host virtual Apache com php configurado onde hospedam suas páginas da web personalizadas.
Minha dificuldade surge quando eles começam a usar "plugins php não confiáveis" nos referidos hosts virtuais. Já tentei de tudo: disable_functions, suhosin, open_basedir, está uma bagunça.
O que eu preciso é de isolamento total. Quero que cada uma dessas pessoas em sua própria máquina física ou virtual e eu ou o servidor principal que escuta a porta 80.443 "roteie" o tráfego para ips e portas específicos e minimize os danos causados por uma violação de segurança.
Que opções tenho em termos de complexidade e preço?
Responder1
Esta é apenas uma dica:
Parece que você tem vários clientes em um único servidor "apache/nginx" com "host virtual", neste caso específico recomendo usar Docker com o uso de "docker-compose" e você pode fazer uso de "Redes" privado e isolado a um custo mínimo. (Sinto que a prioridade neste momento será a redução de custos)
Desta forma cada cliente pode construir seus próprios módulos PHP, seus própriosVersão PHP, cada cliente pode se conectar ao seuprópria porta e servidor SSHseparadamente para que tenham acesso para modificar seus arquivos, entre muitos outros utilitários
E dependendo da arquitetura que você precisa, você pode manter um único banco de dados na máquina real (que é o que recomendo para acessos IOPS e kernel) ou também pode manter os bancos de dados isolados por cliente (cuidado... se eles usam INNODB e não MYISAM, o consumo de cada servidor MYSQL pode ser acionado dependendo da configuração do cache para memória RAM)
Desejo-lhe sucesso em seu projeto