需要找出一個安全的設置,允許我根據主機名稱控制流量。
例如,目前我正在一台小機器上處理一小部分人。這些人中的每個人都有一個配置了 php 的 apache 虛擬主機,用於託管他們的自訂網頁。
當他們開始在上述虛擬主機上使用「不可靠的 php 插件」時,我的鬥爭就來了。我已經嘗試了一切:disable_functions、suhosin、open_basedir,真是一團糟。
我需要的是完全的隔離。我希望這些人中的每一個人都在自己的實體或虛擬機上,而我或主伺服器監聽端口80,443,將流量「路由」到特定的ip 和端口,並最大限度地減少安全漏洞造成的損害。
就複雜性和價格而言,我有哪些選擇?
答案1
這只是一個提示:
聽起來您在帶有“虛擬主機”的單一伺服器“apache / nginx”上有多個客戶端,在這種特殊情況下,我建議使用 Docker 並使用“docker-compose”,您可以使用“網路「以最小的成本實現私密和隔離。(我覺得目前的首要任務是降低成本)
這樣每個客戶端都可以建立自己的 PHP 模組,自己的PHP版本,每個客戶端都可以連接到他們的自己的連接埠和SSH伺服器分開,以便他們可以訪問修改其文件以及許多其他實用程序
根據您需要的架構,您可以在真機上維護單個資料庫(這是我對 IOPS 和內核存取的建議),或者您也可以透過客戶端隔離資料庫(注意......如果他們使用 INNODB 和不是MYISAM,根據cache到ram的設定可以觸發各個MYSQL伺服器的消耗)
祝您專案成功