需要找出一个安全的设置,让我能够根据主机名控制流量。
例如,目前我正在一台小型机器上处理一小部分人。这些人中的每一个人都有一个配置了 php 的 apache 虚拟主机,用于托管他们的自定义网页。
当他们开始在上述虚拟主机上使用“不可靠的 php 插件”时,我遇到了麻烦。我尝试了所有方法:disable_functions、suhosin、open_basedir,但一团糟。
我需要的是完全隔离。我希望这些人中的每一个人都在他们自己的物理或虚拟机上,而我或监听端口 80,443 的主服务器将流量“路由”到特定的 IP 和端口,并最大限度地减少安全漏洞造成的损害。
就复杂性和价格而言我有哪些选择?
答案1
这只是一个提示:
听起来你在一台带有“虚拟主机”的服务器“apache/nginx”上有多个客户端,在这种特殊情况下,我建议使用“docker-compose”来使用Docker,你可以使用“网络“以最低的成本实现私密和隔离。(我认为目前的首要任务是降低成本)
这样,每个客户端都可以构建自己的 PHP 模块、自己的PHP 版本,每个客户端都可以连接到他们的自己的端口和 SSH 服务器以便他们能够访问并修改他们的文件,以及许多其他实用程序
根据您所需的架构,您可以在真实机器上维护单个数据库(这是我对 IOPS 和内核访问的建议),也可以让数据库按客户端隔离(注意...如果它们使用 INNODB 而不是 MYISAM,则每个 MYSQL 服务器的消耗都可能根据对 RAM 的缓存配置而触发)
祝你的项目成功