Re: openvz, vserver
On Mon, Dec 24, 2007 at 10:20:32PM +0300, ph wrote:
> Если нужна безопасность, главное правило - держать разные части
> системы на разных машинах, и, лучше, не подключенных к
> интернету, а запросы пропускать через риверс-прокси. База
> данных точно должна быть видна только из локальной сети.
Опять же не сочтите за нахальную (а просто за :) рекламу --
но при озадаченности оной есть более подходящие линуксы.
Где база сразу не торчит, потому что майнтейнеры тоже так думают.
> Мы ничего не потеряем, но сильно повысим надежность и
> безопасность. vserver, например, рекомендуется использовать
> даже если разделения не требуется - с одним экземпляром ос где
> крутится всё что надо, на "голой" хост-системе.
ovz тоже -- это оставляет больше шансов остановить даже
проломленную машину, воспользовавшись доступом туда, куда
пускают совсем не отовсюду (в терминологии ovz это HN,
hwardware node).
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
Reply to: