https://opennet.ru/openforum/vsluhforumID1/81975.html Организуется сервер для виртуального хостинга.<br><br>Схема простая. Виртуальный сервер - это просто процессы, работающие с правами пользователя-владельца вирт. хостинга в chroot. Каждый виртуальный сервер имеет apache, запущенный с правами пользователя в chroot.<br><br>Как можно сделать ограничение процессорного времени для каждого пользователя? Через классы и cputime не удается, так как в этом случае лимиты будут влиять и на постоянные процессы (будет, например, умирать apache или php в режиме fastcgi).<br> https://opennet.ru/openforum/vsluhforumID1/81975.html#9 Wed, 17 Sep 2008 15:57:47 GMT &gt;&gt;А с jail получим больше проблем, чем решим.<br>&gt;<br>&gt;С чего бы это? jail == chroot + дополнительная изоляция <br><br>Тем, что jail позволяет внутри "тюрьмы" запускать процессы с любым uid (включая root), а значит, нельзя для ограничения использовать стандартные средства ОС для лимитирования ресурсов, основанные на uid (квоты файловой системы, лимиты, фаервол).<br><br>Решение проблемы по учету процессорного времени - system accounting и стандартная утилита sa. К сожалению, для jail не подходит, так как измеряет на основе uid. Вполне подходит для chroot и разделению ресурсов на основе uid.<br><br><br> https://opennet.ru/openforum/vsluhforumID1/81975.html#8 Tue, 16 Sep 2008 19:19:11 GMT &gt;В смысле без привилегий рута chroot не обойти? <br><br>И чему вас на уроках математики учат? Наличие привилегий рута не является необходимым для обхода чрут, оно его упрощает, но и без этого можно справится. Также рутовые привилегии не являются достаточным условием, даже с ними возможен непробиваемый чрут.<br>&gt;В том то и дело, что клиенту не надо, ему нужен простой <br>&gt;хостинг без излишеств. <br><br>Тогда ищите патч к апачу, позволяющий запускать каждый чайлд со сменой uid, не будет работать mod_worker, но он в любом случае несовместим с mod_php, так что без разницы. Такие патчи писались со времен 1.3 различными хостерами и отдельными разработчитками, попробуйте найти. <br>&gt;К сожалению, заказчик хочет только FreeBSD, а под нее комерческие vps мне <br>&gt;не известны. <br><br>Тогда стоит получше изучить jail, в любом случае возможностей больше чем в чруте :)<br><br><br> https://opennet.ru/openforum/vsluhforumID1/81975.html#7 Tue, 16 Sep 2008 17:36:06 GMT &gt;А с jail получим больше проблем, чем решим.<br><br>С чего бы это? jail == chroot + дополнительная изоляция<br><br> https://opennet.ru/openforum/vsluhforumID1/81975.html#6 Tue, 16 Sep 2008 16:22:03 GMT <br>&gt;&gt;Пользователю не нужен root, он не собирается устанавливать приложения. Максимум - сбросить <br>&gt;&gt;в свой каталог несколько страничек и php/perl скриптов. <br>&gt;<br>&gt;Я не сказал что привилегии рута это необходимое условие для обхода чрут <br>&gt;:)<br><br>В смысле без привилегий рута chroot не обойти? <br>&gt;&gt;В простейшем варианте (один апач на всех) нет возможности обеспечить самую минимальную безопасность - изоляцию каталогов и выполнение скриптов от имени пользователся. <br>&gt;<br>&gt;Запуск скриптов от имени пользователя делается штатно через suexec.<br><br>Думал над этим, но тогда php скрипты придется запускать как cgi, что очень медленно, либо держать для каждого пользователя несколько процессов php в режиме fastcgi, что по накладным расходам тоже самое, что и запущеный apache с mod_php.<br>&gt;<br>&gt;&gt;А с jail получим больше проблем, чем решим. Элементарно, нельзя динамически изменить <br>&gt;&gt;дисковую квоту, в простейшем случае стандартных квот в файловой системе более <br>&gt;&gt;чем достаточно. Как учитывать процессорное время в jail, тоже непонятно. https://opennet.ru/openforum/vsluhforumID1/81975.html#5 Tue, 16 Sep 2008 11:51:11 GMT <br>&gt;Пользователю не нужен root, он не собирается устанавливать приложения. Максимум - сбросить <br>&gt;в свой каталог несколько страничек и php/perl скриптов. <br><br>Я не сказал что привилегии рута это необходимое условие для обхода чрут :)<br>&gt;В простейшем варианте (один апач на всех) нет возможности обеспечить самую минимальную безопасность - изоляцию каталогов и выполнение скриптов от имени пользователся. <br><br>Запуск скриптов от имени пользователя делается штатно через suexec. Полное разграничение возможно за счет дополнительных патчей<br><br>&gt;А с jail получим больше проблем, чем решим. Элементарно, нельзя динамически изменить <br>&gt;дисковую квоту, в простейшем случае стандартных квот в файловой системе более <br>&gt;чем достаточно. Как учитывать процессорное время в jail, тоже непонятно. <br><br>Ну по jail я вам не отвечу, слишком много времени назад юзал фрю. А вот в openVZ и та и другая задача легко решаются. Кроме того за настоящий vps можно брать чуть большую денежку :)<br><br>Если уж так хочется обойтись без vps, то посмотрите на sel https://opennet.ru/openforum/vsluhforumID1/81975.html#4 Tue, 16 Sep 2008 03:21:33 GMT &gt;В простейшем варианте используют один сервис(апач, мускул итд) на всех клиентов, а <br>&gt;не запускают в чруте, он вообще для другого сделан. Изоляция делается <br>&gt;средствами сервиса. Между прочим оверхед при виртуализациях типа jail/zones/openvz/vserver минимален, а <br>&gt;преимущества огромны, почитайте подробней ибо вы явно на неверном пути. <br>&gt;<br>&gt;&gt;Не знаю ни одного способа обойти chroot (ну если только есть какая-нибудь уязвимость и эксплоит, позволяющая поднять права или изменить каталог). Приведите пример.<br>&gt;<br>&gt;Зависит от того, кто делал чрут. В простейшем случае mount. Вы твердо <br>&gt;уверены что сможете предусмотреть все остальные варианты?<br><br>Пользователю не нужен root, он не собирается устанавливать приложения. Максимум - сбросить в свой каталог несколько страничек и php/perl скриптов. В простейшем варианте (один апач на всех) нет возможности обеспечить самую минимальную безопасность - изоляцию каталогов и выполнение скриптов от имени пользователся.<br><br>А с jail получим больше проблем, чем решим. Элементарно, н https://opennet.ru/openforum/vsluhforumID1/81975.html#3 Mon, 15 Sep 2008 18:39:29 GMT &gt;Виртуализация - это из пушки по воробьям. В моем случае нужен простейший хостинг с минимальной безопасностью (чтобы пользовательские скрипты не могли читать файлы другого пользователя).<br><br>В простейшем варианте используют один сервис(апач, мускул итд) на всех клиентов, а не запускают в чруте, он вообще для другого сделан. Изоляция делается средствами сервиса. Между прочим оверхед при виртуализациях типа jail/zones/openvz/vserver минимален, а преимущества огромны, почитайте подробней ибо вы явно на неверном пути. <br><br>&gt;Не знаю ни одного способа обойти chroot (ну если только есть какая-нибудь уязвимость и эксплоит, позволяющая поднять права или изменить каталог). Приведите пример.<br><br>Зависит от того, кто делал чрут. В простейшем случае mount. Вы твердо уверены что сможете предусмотреть все остальные варианты?<br> https://opennet.ru/openforum/vsluhforumID1/81975.html#2 Mon, 15 Sep 2008 16:43:50 GMT &gt;Есть очень много способов обойти чрут, так что не занимайтесь ерундой и <br>&gt;перейдите сразу к нормальной виртуализации, например openVZ. <br><br>Виртуализация - это из пушки по воробьям. В моем случае нужен простейший хостинг с минимальной безопасностью (чтобы пользовательские скрипты не могли читать файлы другого пользователя).<br><br>Не знаю ни одного способа обойти chroot (ну если только есть какая-нибудь уязвимость и эксплоит, позволяющая поднять права или изменить каталог). Приведите пример.<br> https://opennet.ru/openforum/vsluhforumID1/81975.html#1 Mon, 15 Sep 2008 11:30:50 GMT Есть очень много способов обойти чрут, так что не занимайтесь ерундой и перейдите сразу к нормальной виртуализации, например openVZ. <br><br>