Sandbox для fastcgi-процесса.

0

0

Всем привет.

У меня есть необходимость запускать кучу процессов fastcgi (rails, django, php-cgi) и хочется сделать для таких процессов песочницы, что-бы внешней фс для этому процессу видно не было, только его папка да и та только на чтение. Я вижу два способа сделать это и оба кривые:

1) Делать chroot в папку, в которую надо кинуть все необходимые бинарники и либы.

2) Поставить на все файлы acl запрещающую чтение, оставить read только на файлы в папке.

Есть ли способ сделать такое по-человечески?

Ссылка

←	[routing] Асимметрик реплай

IP_MASQ: reverse ICMP: failed checksum from..

→

имхо нет такого и быть не может (если не предусмотрено самим fcgi-процессом, на подобии php-fpm)

разве что взять какой-нить грязный хак, на подобии гентушного sandbox, и попытаться там настроить доступ? но это повлечет массу тормозов при интенсивной работе, имхо...
проще сделать чрут или вообще в контейнер положить эти процессы вместе с хомяком...

r0mik ★
(16.02.10 22:07:20 MSK)

Ссылка

LXC?

nnz ★★★★
(16.02.10 22:09:27 MSK)

Я тупо каждому сайту своего юзера создал, друг к другу лазить они не могут. Имхо этого достаточно в большинстве случаев. Мона и linux containers как предлагает nnz, но всё равно chroot надо городить.

true_admin ★★★★★
(16.02.10 22:16:49 MSK)

Ответ на: комментарий от true_admin 16.02.10 22:16:49 MSK

проще всего городить чрут. контейнеры (lxc) по сути тот же чрут, просто с управлением ресурсами посредством cgroups. короче контейнеры ему не нужны, имхо

r0mik ★
(16.02.10 22:31:28 MSK)