过去 5 年我一直在使用虚拟分钟在我托管网站的小型 VPS 上。它主要用于我的项目和演示,但在过去几年里,我开始托管其他人的网站(朋友等)。
在我的 Virtualmin 设置中,我没有 chrooting,只有基本的 PHP FPM 和 NodeJS 设置,并且没有为每个用户设置独立的进程。
我意识到,我需要做一些更新来提高安全性,所以我决定退出 Virtualmin(以及 Apache2)。
现在我问自己是否应该学习 Docker 并创建虚拟服务器作为 Docker 容器,或者只是安装干净的Nginx, MariaDB, NodeJS, PHP组合并使用它直到所有用户彼此完全隔离。
据我所知,当 Docker 容器使用相同的 Nginx 实例时,完全隔离它们也不是一件简单的事。
我的主要目标是将虚拟服务器文件放在/home/username目录中,并且所有 PHP 执行和 Nginx 服务都将从此文件夹完成,而无需任何全局www-data伪用户/组。
有什么建议可以解决此问题吗?
答案1
简短的回答:我会坚持使用传统的设置并放弃容器,假设(LAMP)组件版本的差异很小或没有差异。
在我看来,如果您所需的平台对于您要在设置中托管的应用程序来说是通用的,那么您从容器中获得的收益就很少。
这意味着如果您坚持使用所有站点使用的所有提及的组件的一个或几个版本,则无需在多个容器实例中重复所有这些版本。
即使你这样做了,最好还是将网络服务器和数据库(再次强调,在我看来)放在容器设置之外,以降低复杂性。
假设使用 DAC 和 MAC 强制隔离的系统设置正确,则安全性的提升可以忽略不计。