[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: openvz, vserver

On Mon, Dec 24, 2007 at 10:20:32PM +0300, ph wrote:
> Если нужна безопасность, главное правило - держать разные части
> системы на разных машинах, и, лучше, не подключенных к
> интернету, а запросы пропускать через риверс-прокси.  База
> данных точно должна быть видна только из локальной сети.

Опять же не сочтите за нахальную (а просто за :) рекламу -- 
но при озадаченности оной есть более подходящие линуксы.

Где база сразу не торчит, потому что майнтейнеры тоже так думают.

> Мы ничего не потеряем, но сильно повысим надежность и
> безопасность.  vserver, например, рекомендуется использовать
> даже если разделения не требуется - с одним экземпляром ос где
> крутится всё что надо, на "голой"  хост-системе.

ovz тоже -- это оставляет больше шансов остановить даже
проломленную машину, воспользовавшись доступом туда, куда
пускают совсем не отовсюду (в терминологии ovz это HN, 
hwardware node).

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
Reply to: