Многосервисный сервер

0

2

Есть машина на которой планируется запустить 2-3 сайта, почту (с этих доменах), NTP, DNS.
Как лучше разделить эти сервисы, чтобы по-безопаснее, но чтобы не было лишних растрат ресурсов (машина не очень мощная)...
Предполагаю так:
Каждый сайт - в отдельную вирт. машину (легкая виртуализация);
NTP - Chroot;
DNS - либо chroot либо apparmor;
mail - либо в виртуалку либо apparmor.

Как посоветуете? Может, есть более рациональные варианты...

Ссылка

← Настройка smb.conf, директории для гостей и требующие авторизации

Хочу стать параноиком →

Можно распихать по контейнерам

vasily_pupkin ★★★★★
(30.03.12 15:02:54 MSK)

apparmor

Не знаю на счет apparmor, в rhel(уверен, что и в centos точно так же) всегда был selinux, и все популярные сервисы в нем уже должны быть настроены - apache и postfix точно. Я бы, наверное, сделал по kvm машине на каждый сайт + еще одна под всё остальное.

fjoe ★
(30.03.12 21:44:41 MSK)

Ссылка

Ответ на: комментарий от vasily_pupkin 30.03.12 15:02:54 MSK

Их уже добивили в основную ветку ядра?

winddos ★★★
(01.04.12 18:08:35 MSK)

Ответ на: комментарий от winddos 01.04.12 18:08:35 MSK

Очень давно

vasily_pupkin ★★★★★
(02.04.12 19:08:15 MSK)

Ссылка

Я для этого использовал lxc контейнеры. Chroot не безопасен: если есть рут из него можно выйти.

zloelamo ★★★★
(05.04.12 10:37:31 MSK)

openvz

sin_a ★★★★★
(05.04.12 10:54:49 MSK)

Ответ на: комментарий от zloelamo 05.04.12 10:37:31 MSK

Как у lxc с производительностью? Оно так и осталось игрушкой для гиков или реально где применяется?

anonymous
(05.04.12 10:57:19 MSK)

Ответ на: комментарий от sin_a 05.04.12 10:54:49 MSK

openvz приведет к тому, что ТС будет винужден использовать vz-ядра, что уже намного хуже чем ранее предложенный selinux

anonymous
(05.04.12 10:58:59 MSK)

Ответ на: комментарий от anonymous 05.04.12 10:58:59 MSK

Контейнеры имеют то достоинство, что для каждой задачи можно настроить свою среду (croot) с своими версиями требуемого ПО.

Использовать ядра vz может быть плохо, если требуются какие то свежие особенности, которых нет в таких ядрах. На lxc, действительно, тоже стоит обратить внимание, но с этим возможно понадобится разбираться чуть больше.

sin_a ★★★★★
(05.04.12 11:25:34 MSK)

Ссылка

Ответ на: комментарий от anonymous 05.04.12 10:57:19 MSK

Я не делал нагрузочных тестов.

zloelamo ★★★★
(05.04.12 11:57:22 MSK)

Ссылка

lxc либо нарезать виртуалочек, если есть аппаратная виртуализация и достаточно памяти. Либо можно посмотреть в сторону нелинукса (Solaris Zones, например). Либо можно не париться :) Всё равно ломать никто не будет.

У меня все серверы стоят с пустым iptables и ничего - полная кафедра ИТ-студентов, а никто даже и не думает поломать хоть чего-то, хотя в одних только веб-службах поди навалом XSS, CSRF и т.д. Так что будь спокоен

hc ★
(05.04.12 14:28:08 MSK)

Ответ на: комментарий от hc 05.04.12 14:28:08 MSK

DNS, postfix, apache будут смотреть в интернет.

Всё равно ломать никто не будет.

Вы за весь интернет ответили? )

полная кафедра ИТ-студентов, а никто даже и не думает поломать хоть чего-то

Потому что легко проверить кто работал на компе. Я бы тоже не рискнул, даже если даже знал-бы как сломать...

SELinux, насколько мне известно, очень долго настраивается... тот-же apparmor быстрее...

~~Igorrr~~ ★★★★
(06.04.12 09:20:04 MSK) автор топика

Ответ на: комментарий от Igorrr 06.04.12 09:20:04 MSK

Я наоборот говорю, чтобы ломали (бесплатный пентест же :) ), да никто не берётся :) Ну да это оффтопик

По поводу SELinux - я не селинукс предлагал, а НЕлинукс - солярис, например :)

hc ★
(06.04.12 13:51:02 MSK)

Ответ на: комментарий от hc 06.04.12 13:51:02 MSK

По поводу SELinux - я не селинукс предлагал, а НЕлинукс - солярис, например :)

Да этот ответ и не вам был, а второму посту :)

ОС не могу выбирать - только CentOS. Иначе поставил-бы Debian :)

~~Igorrr~~ ★★★★
(06.04.12 17:32:56 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← Настройка smb.conf, директории для гостей и требующие авторизации

Security

Хочу стать параноиком →

Похожие темы