Re: Аналог htaccess
Gena Makhomed
gmm на csdoc.com
Вс Окт 2 12:06:08 UTC 2011
On 02.10.2011 0:44, Peter Vereshagin wrote:
>> jail, vps, vds, zone - это синонимы,
> Не согласен. Но и не важно.
в том смысле, что по своей сути это практически одинаковые технологии.
в обсуждаемом контексте настройки сервера для mass shared hosting.
>> но это не применимо в случае mass shared hosting.
> где-то в lj видел шутки ради было запущено N тысяч джейлов. Прилагалась фотка
> монитора с показаниями то ли top, то ли чего ещё. И рассуждения про длину
> бороды.
джейлы запустить можно. но по ресурсам давать каждому пользователю
выделенный apache / nginx+php-fpm - это будет дорого, по сравнению
с вариантом mass shared hosting, когда все крутится на одном апаче.
>> делать chroot в каталог, куда пользователь может писать - это давать
>> возможность пользователям легко получить рутовые права на этом сервере.
> можно как вариант вложить ~userX в каталог, относящийся только к userX, но без
> прав userX на запись в него. И chroot туда.
чем chroot в этом случае будет отличаться от FreeBSD jail или от OpenVZ?
всеравно ведь каждому пользователю надо будет отдельный apache/nginx/php
>> поэтому тут остается только единственный нормальный вариант -
>> "написать аналог mod_aclr для второго апача и работать через него".
> Не согласен, как минимум потому что не верю в open_basedir
в этом треде обсуждался вопрос как сделать так, что вся динамика
крутится на одном апаче (mass shared hosting), а вся статика
отдается напрямую через nginx, который стоит перед apache.
вариант
"написать аналог mod_aclr для второго апача и работать через него"
является на сегодняшний день единственным нормальным. потому что
все другие вариант - это или двойное проксирование всей статики,
или игнорирование nginx`ом настроек доступа из .htaccess-файлов,
что будет неприятным сюрпризом для большинства пользователей.
альтернативный вариант - вместо nginx использовать haproxy,
там можно ограничить количество запросов от nginx к backend`у,
чтобы в случае DDoS-атаки на какой-то вирутуальный хост не было
такой ситуации, что все worker-процессы апача будут заняты только
им и не смогут нормально обрабатывать запросы к другим сайтам.
или - использовать связку nginx + haproxy + apache/mod_php,
отдавая статику напрямую через nginx, игнорируя .htaccess-файлы,
и с помощью haproxy защищая backend от чрезмерных нагрузок и DDoS-атак.
>> те компании, которые смогут это сделать для себя - получат конкурентное
>> преимущество, потому что все остальные mass shared hosting будут
>> или очень дырявыми или очень неэффективными при отдаче статики.
> Ну остальные что-нибудь ещё тем временем придумают.
времени с момента появления www прошло уже очень много,
но пока что - никто ничего лучшего не смог придумать...
--
Best regards,
Gena
Подробная информация о списке рассылки nginx-ru