Este co sa dockera tyka, aj keby ste to chceli pouzit presne na to co pisal Snajpa ze na co to je urcene, tak odporucam opatrnost, najma na produkcii, zatial s tym je casto viac problemov ako uzitku. Minimalne odporucam precitat https://thehftguy.wordpress.com/2016/11/01/docker-in-production-an-history-of-failure/ (nie zrovna nas pripad, ale kolegovia co to skusali nasadit mali podobne skusenosti). Poznam viac ludi co realne kontajnery nepotrebuju a vyuzivaju to primarne na rychly setup masin a v takom pripade je ovela vhodnejsie ist cestou ansible, chef a pod.

On 7 Nov 2016, at 00:35, Jirka Bourek <vpsfree-list@keroub.cz> wrote:

Oddělovat uživatele v Apache není potřeba, stačí oddělit uživatele, pod kterým běží to PHP. Pak se dá použít normální event mpm, které pro každý požadavek neforkuje nový proces.

Stanislav Petr wrote:
Predpokladam ze tam mas apache. Koukni na mpm itk nebo peruser a rozdel weby na ruzny UID. Pak v PHP vypni vsechny funkce ktery vedou na spusteni kodu (shell_exec, atd...) a nezapomen na nastaveno open_basedir - to je zhruba zaklad kterej je celkem nutnej.

Odesláno z iPhonu

6. 11. 2016 v 14:00, Pavel Snajdr <snajpa@snajpa.net>:

Koukam, ze jsem nestihl odpovedet driv, nez nekdo zase vytahne
kontejnery na izolaci atd. - kontenery jsou hlavne pro to, aby clovek
mohl mit uplne jinak nastavene to prostredi operacniho systemu (napr.
ruzne verze interpreru apod.).

Lidicky, nezapominejte, ze Unix tohle ma vyresene uz od zacatku - od
toho ma Unix uzivatele, od toho je to viceuzivatelsky system :)

Tzn. tedy pustit kazdy web pod jinym userem a zaridit, aby si na urovni
opravneni k tem souborum navzajem nevidely na data.

/snajpa

On 11/06/2016 01:51 PM, Miroslav Šedivý wrote:
Ahoj,

používám VPS primárně jako webhosting pro svoje projekty. Nedávno jsem
tam kamarádovi umístil jeho Wordpress a teď se mi tam přes bezpečnostní
chybu ve WP dostal nějaký bordel - v každém index.php souboru mám x kB
škodlivého kódu.

Otázka tedy zní, dá se nějak jednoduše izolovat každý web, aby proces
jedné domény nemohl zapisovat do souborů jiné domény? V security jsem
dost laik, takže prosím i shovívavost. Díky.

S pozdravem
Miroslav Šedivý


_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list


_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list