А можно как то сделать что бы ответы о недоставке уходили на другой email нежели отправитель? У нас рассылка и при ответном письме почта должна уходить на 1 адрес, а если например адреса нет куда идет письмо должно идти разработчикам...
Насчет паранойи согласен :). Ну как хостинги живут. Если на 1 аккаунте 10 сайтов и 1 сайт поломали будут ко всем доступ иметь. У Бегета для этого сделаны патчи ядра, что бы был 1 фтп доступ ко всем. А так же попадалась инфа в сети, что каждый аккаунт так же в докере находиться (не сайт а аккаунт), на него же можно и ссх доступ дать и не переживать, что юзер что то поломаем в хост системе. У других не знаю, надо тестировать мне лень :). Но все хостинги, где я хостился предоставляют 1 фтп ко всем сайтам...
С Ansible все понятно можно и скрипты написать это не вопрос. Просто больше всего мне не нравиться именно много фтп аккаунтов именно в этом загвоздка, все остальное никаких проблем... Если бы можно было к схеме с пользователями прикрутить 1 фтп аккаунт я бы так и сделал...
Sanes, да я у же не первый год с линухами работаю, знаю эти все вещи конечно же :). Вопрос стоит в удобстве и сколько за это удобство придется платить, как временем так и ресурсами. В свое время еще лет 8 назад когда работал с freebsd и открыл для себя jail понял, что все сервисы должны быть в своих клетках. Это разумно даже если за это придется платить. Докер или chroot это система более для 1 одного сервиса, который запущен в рамках текущего ядра и обеспечивает его надежную изоляцию от хостовой системы...
С точки зрения конфигурации и обслуживания хостинга система с докерами проще. Так как еще раз повторюсь я бы все равно засунул в докер и апач и фпм, просто по факту. Мускуль тоже в докере. Нефиг им делать на хостовой машине :). Где то что то забыл, где то права не подправил и все, считай опытный взломщик легко это найдет...
Но для меня создавать новый аккаунт для каждого сайта более проблематичен. Так как надо настроить сам апач, надо добавить пользователя, надо настроить Nginx, надо остановить контейнер и перебрать его что будет простой и потом надо настроить фтп и надо настроить на локальной машине фтп клиент.
В схеме с докерами, настраиваем только 1 файл докера путем замены путей и Nginx . Стартуем его и все. Все остальное настроено и работает :). Да получаем некий перерасход и то не факт что получаем. Конечно для хостинга с 1000 сайтами я бы что то подумал, но это уже бизнес, там можно и php было бы пропатчить или еще что то, что обеспечило бы работу сайтов клиента на 1 аккаунте. И даже в этом случае 1 аккаунт клиента я бы все равно засунул в докере, только это был бы не 1 сайт, а несколько. Софт ломают время от времени и это дополнительная защита что бы можно было спать спокойно :)
А так конечно ждем когда сам php предложит надёжный механизм изоляции, это было бы идеально. Ведь тот же мускуль даже мыслей не вызывает для каждого свой запускать :) или Nginx ). Он один для всего сервака...
Мы значительно повысили безопасность сайтов на нашем хостинге, изолируя их друг от друга в рамках одного хостинг-аккаунта. Если вирусы или злоумышленники, добрались до одного сайта, то получить доступ к остальным они не смогут.
Уникальная разработка на основе POSIX ACL и доработки собственного ядра Linux позволила сделать разграничение сайтов незаметным для пользователей.
Для меня сложнее с пользователями замарчиваться. А так суть та же получается. 1 процесс 1 пользователь. Ну в докере ладно, на 1 процесс больше, 2 процесса итого в памяти, один мастер и второй уже рабочий. Но поскольку сайты посещяемые апач все равно расплодиться до нужного количества процессов. К тому же я не очень люблю теперь на голом линухе что то стартовать. Не секьюрно считаю. А добавлять каждый раз нового пользователя в докере, это же его стопнуть значит надо, все веб сервисы остановятся, пользователя добавить, образ пересобрать.... А без пересборки образа это все потерять можно легко. Вообщем время затраты я думаю будут примерно равны. Ведь теперь мне нужно только скопировать нужный файл, поменять пути до сайта и запустить процесс. Понятно если сайтов 1000 на хосте такой способ не идеален. Но пока других вменяем путей я не вижу. Раньше было сделано так php_admin_value open_basedir = и php_admin_value upload_tmp_dir = ... Не знаю насколько этот способ безопасен поэтому с переездом хостинга решил перестраховаться.
Алексей Черемисин, а сделал таки на WireGuard . Это действительна стоящая штука. Конечно время покажет как и что. Но в данный момент написал вебку котороя генерит конфиги и я просто отсылаю их клиенту :). Когда будет штук 200-300 реальных юзеров посмотрим как работать будет. Пока еще в тесте все.
Вообщем то подумав какое то время, запустил пару тестовых тунельчиков. Понравилось. В итоге написал вебку для генерации конфигов клиентов и так и серверных. Осталось толка интегрировать это дело...
Спасибо, чуток сложновато, это уже для методов когда ничего не помогает :). В моем случае забиндить не получиться, так как не хочу во вне светить, он на локальном ифейсе висит....
0xD34F Понял вижу, не очень конечно подробно написано, несколько раз мельком просматривал эту штуку но так и не удосужился найти что то полезное в ней :). Спасибо еще раз, все заработало...