Лучшие практики безопасности для мульти-хостинга Nginx + для пассажиров [закрыто]
Я планирую предложить бесплатный мульти-хостинг для стоечного фреймворка Ruby с использованием nginx и пассажира для обслуживания этих приложений. Я работаю над несколькими вариантами, и я хотел бы спросить несколько советов о лучших методах обеспечения безопасности для этого типа настройки в среде с несколькими хостингами:
Первый вариант, над которым я работаю, - это веб-интерфейс, который будет разрешить пользователям загружать свои приложения. Чтобы сделать его достаточно автоматизированным, я мог бы создать парсер, чтобы проверить, что код ruby / framework не содержит вредоносных команд, например. % x (и другие тоже. Я не уверен, действительно ли возможно охватить все возможности, но это должно быть смягчено тем фактом, что при загрузке создается пользователь unix (вместе с поддоменом nginx) и загруженное приложение будет работать внутри каталога пользователя, и этот пользователь не имеет специальных разрешений на уровне сервера за пределами его собственного каталога;
Второй вариант - разрешить доступ sftp (или доступ sftp / ssh) практически без разрешений за пределами своего каталога. В этом случае Необходимо будет внедрить проверку участников (форма подписки), но это потенциально даст больше гибкости.
Из вашего опыта, какой вариант был бы наиболее подходящим? Во-вторых, для варианта 2 с доступом sftp или даже sftp и ssh, что было бы подходящей настройкой безопасности? имейте в виду, что nginx потребуется доступ для чтения во всем дереве / users / ...., поэтому он не может быть слишком строгим. Заранее благодарим за совет!
Вам это не понравится .. Общий хостинг вроде как мертв. На самом деле никто этим больше не занимается.
Вам лучше предложить услугу VPS, где вы управляете изображениями, которые они используют. Ой, погоди. Amazon превзошел вас, как и все другие компании, такие как Heroku и EngineYard .
Причина, по которой в этом сезоне более популярны VPS , а общий хостинг отсутствует?
Безопасность имеет большое значение. Защитить виртуальный сервер намного проще, чем каталог.
Также проще ограничить использование пользователем ЦП, ОЗУ и диска, а также их пропускную способность ввода-вывода.
Если вы действительно хотите сделать это как совместно используемый сервер / многопользовательский Тогда второй вариант, возможно, лучший, хотя, честно говоря, они оба немного отстой.
Не давайте им доступ по SSH. Предоставьте им доступ Git , как PHPFog et al. Это ограничивает их только загрузкой файлов.
Вы не можете эффективно анализировать / фильтровать код, который они загружают, потому что вы всегда найдете только эксплойты, которые знаете, как искать. Новые подвиги пройдут мимо вас, и тогда он ...