Re: Аналог htaccess

[Gena Makhomed]

On 02.10.2011 0:44, Peter Vereshagin wrote:

>> jail, vps, vds, zone - это синонимы,

> Не согласен. Но и не важно.

в том смысле, что по своей сути это практически одинаковые технологии.
в обсуждаемом контексте настройки сервера для mass shared hosting.

>> но это не применимо в случае mass shared hosting.

> где-то в lj видел шутки ради было запущено N тысяч джейлов.   Прилагалась  фотка
> монитора с показаниями то ли top, то ли  чего  ещё.   И  рассуждения  про  длину
> бороды.

джейлы запустить можно. но по ресурсам давать каждому пользователю
выделенный apache / nginx+php-fpm - это будет дорого, по сравнению
с вариантом mass shared hosting, когда все крутится на одном апаче.

>> делать chroot в каталог, куда пользователь может писать - это давать
>> возможность пользователям легко получить рутовые права на этом сервере.

> можно как вариант вложить ~userX в каталог, относящийся только к userX,  но  без
> прав userX на запись в него. И chroot туда.

чем chroot в этом случае будет отличаться от FreeBSD jail или от OpenVZ?
всеравно ведь каждому пользователю надо будет отдельный apache/nginx/php

>> поэтому тут остается только единственный нормальный вариант -
>> "написать аналог mod_aclr для второго апача и работать через него".

> Не согласен, как минимум потому  что не верю в open_basedir

в этом треде обсуждался вопрос как сделать так, что вся динамика 
крутится на одном апаче (mass shared hosting), а вся статика
отдается напрямую через nginx, который стоит перед apache.

вариант
"написать аналог mod_aclr для второго апача и работать через него"
является на сегодняшний день единственным нормальным. потому что
все другие вариант - это или двойное проксирование всей статики,
или игнорирование nginx`ом настроек доступа из .htaccess-файлов,
что будет неприятным сюрпризом для большинства пользователей.

альтернативный вариант - вместо nginx использовать haproxy,
там можно ограничить количество запросов от nginx к backend`у,
чтобы в случае DDoS-атаки на какой-то вирутуальный хост не было
такой ситуации, что все worker-процессы апача будут заняты только
им и не смогут нормально обрабатывать запросы к другим сайтам.

или - использовать связку nginx + haproxy + apache/mod_php,
отдавая статику напрямую через nginx, игнорируя .htaccess-файлы,
и с помощью haproxy защищая backend от чрезмерных нагрузок и DDoS-атак.

>> те компании, которые смогут это сделать для себя - получат конкурентное
>> преимущество, потому что все остальные mass shared hosting будут
>> или очень дырявыми или очень неэффективными при отдаче статики.

> Ну остальные что-нибудь ещё тем временем придумают.

времени с момента появления www прошло уже очень много,
но пока что - никто ничего лучшего не смог придумать...

-- 
Best regards,
  Gena