Я являюсь членом большой группы (академического отдела), использующей центральный сервер GNU/Linux. Я хотел бы иметь возможность устанавливать веб-приложения, такие как instiki, запускать репозитории контроля версий и обслуживать контент через Интернет. Но администраторы не разрешают этого из-за проблем безопасности. Есть ли у них способ изолировать меня, защищая свои серверы на случай взлома? Каково стандартное решение для такой проблемы?
решение1
Стандартное решение этой проблемы —виртуализация. Вы создаете виртуальную машину, содержащую вашу конкретную конфигурацию, а затем размещаете ее на каком-либо сервере.
Существует несколько различных уровней виртуализации. XEN HVM и Linux KVM являются примерами гипервизоров, которые могут запускать немодифицированный экземпляр гостевой операционной системы. Каждому экземпляру выделяется собственная память, остальные ресурсы компьютера могут быть общими.
LXC, OpenVZ и Linux-VServer — это более легкие расширения подхода «песочницы» на основе chroot. Преимущество в таком случае в том, что все экземпляры могут иметь доступ ко всем ресурсам машины (если разрешено), но все экземпляры используют общее соответствующим образом расширенное ядро. Даже в этом случае на вашем сервере Debian может работать другой экземпляр дистрибутива Linux.
Вы можете подключиться к NFS из всех вышеперечисленных экземпляров виртуальных машин.