Отдельные домены по сравнению с одним доменом с доменами псевдонима
Я думаю, что Ваш план широко корректен; шифрование раздела предоставит Вам блок зашифрованных - безопасное устройство хранения данных без боли переустановки целой машины.
Обратите внимание, что эта машина больше не будет полезна, если загружено необслуживаемая. Это загрузится, поскольку корневой раздел будет не зашифрован, но это не сможет запустить mysql; необходимо вручную ввести пароль шифрования в каждой перезагрузке. Вы могли, конечно, написать сценарий его, но затем пароль шифрования хранится на машине, и это действительно побеждает объект осуществления. Так убедитесь, что Вы хотите сделать это, прежде чем Вы сделаете это.
Я описал довольно подробные технические замечания о том, как я сделал это, который можно считать по http://www.teaparty.net/technotes/crypto-fs.html, если Вам интересно. Работа была сделана на мягкой фетровой шляпе, но это не является определенным для мягкой фетровой шляпы.
После того как Вы настроили зашифрованный раздел, Вы просто используете "CP" или "mv", чтобы получить файлы на него и обычно связывать их через от их старого местоположения (/var/lib/mysql, или везде, где).
Превращаю мой комментарий в ответ.
Я бы нацелен на один процесс Apache, работающий как один ] пользователь системы, но обслуживает несколько IP-адресов, соответствующих нескольким доменным именам, каждое со своим собственным сертификатом SSL. Если явно не настроено иное (например, с использованием suEXEC или параметра -user для FastCgiServer ), Apache будет запускать все дочерние процессы от имени того же пользователя, которого он использует для своего собственного доступ к данным, независимо от виртуального хоста , которому принадлежит запрос. Сколько будет процессов, зависит от конфигурации сервера, в частности ist MPM , но пока все процессы принадлежат одному пользователю, вам не следует беспокоиться об этой проблеме здесь. Используйте виртуальные хосты на основе IP в конфигурации apache, поскольку для выбора сертификата SSL на основе имен требуется SNI , который по-прежнему поддерживается не всеми клиентами.
] Я не знаю, справятся ли с этим ваши инструменты управления. Не стесняйтесь редактировать этот ответ и предоставлять подробности, как только вы узнаете об этом.
здесь вам не нужно заботиться об этой проблеме. Используйте виртуальные хосты на основе IP в конфигурации apache, поскольку для выбора сертификата SSL на основе имен требуется SNI , который по-прежнему поддерживается не всеми клиентами.] Я не знаю, справятся ли с этим ваши инструменты управления. Не стесняйтесь редактировать этот ответ и предоставлять подробные сведения, как только вы узнаете об этом.
здесь вам не нужно заботиться об этой проблеме. Используйте виртуальные хосты на основе IP в конфигурации apache, поскольку для выбора сертификата SSL на основе имен требуется SNI , который по-прежнему поддерживается не всеми клиентами.] Я не знаю, справятся ли с этим ваши инструменты управления. Не стесняйтесь редактировать этот ответ и предоставлять подробности, как только вы узнаете об этом.