Какие есть плюсы и минусы концепции «1 сайт — 1 пользователь» в ISPManager?

Question

[Evgeniy]

В последнее время стали чаще взламывать разработанные сайты.
На причинах взломов предлагаю не заострять внимание.
По 5-10 сайтов на пользователя (ISPManager)
И из-за одного взломанного сайта как правило страдают все.
Эту проблему и хочется решить, причём на корню.

Таким образом, интересует исключительно один вопрос:
Какие есть плюсы и минусы концепции «1 сайт - 1 пользователь» в ISPManager?

А именно:

1. Отразиться ли использование этой концепции на нагрузке на сервер (проц, оператива)?
   
2. Действительно ли, что злоумышленники взломав один сайт - вероятнее всего, не смогут добраться до другого?(полагаю что злоумышленники это как правило, так называемые, скрипт-кидди)
   
3. Есть ли ещё какие-либо плюсы или минусы
   

Может ли эта концепция стать «правилом хорошего тона»?

Answer 1

[Оптимус Пьян]

Думаю на WP у вас сайты поэтому и ломают. Да делайте 1 сайт 1 пользователь, давно так делаю. На нагрузке никак не отражается. Вероятность что взломав один доберётся до остальных минимальная. Если сайты редко обновляются просто отключите им ФТП и SSH

Answer 2

[ramjke]

1. Если и отразится - то незначительно. Процессы веб-сервера всё равно работают под пользователем Apache, и работоспособность веб-сервера не страдает.
2. Да, если по каким-то причинам им удаётся загрузить и выполинть скрипт. Злоумышленники могут получить доступ к любым файлам в пределах пользователя.
3. Минус - огромный список пользователей. Плюс - сайты изолированы друг от друга.
См. эту тему взлома
Что делать,если на сайт залит вредоносный файл?

П.С. В ISP есть встроенный антивирус ClamAV - в разделе "Возможности."

Answer 3

[Влад Животнев]

1 - почти нет, особенно если не установлен mpm-itk (то бишь все сайты работают от пользователя www-data).
2 - действительно, у isp неплохая защита пользователей друг от друга на уровне прав. Если её нарушать не будете (менять права на каталоги в /var/www/user/data (и на сами эти каталоги), отключать basedir) - то всё будет хорошо. Ну если рутом не зайдут.

Вообще минусов на практике нет, кроме разве что неудобства работы с кучей логинов-паролей (но это уже зависит от количества сайтов).

Ну и самое главное правило хорошего тона - не давать веб-серверу прав на запись туда, куда ему писать при обычной работе не нужно. Например, если веб-сервер работает от пользователя www-data, придерживаться прав 755 (на каталоги), 644 на файлы, и 777/666 там, куда серверу нужно писать.