On Mon, Dec 24, 2007 at 10:20:32PM +0300, ph wrote:
Если нужна безопасность, главное правило - держать разные части
системы на разных машинах, и, лучше, не подключенных к
интернету, а запросы пропускать через риверс-прокси. База
данных точно должна быть видна только из локальной сети.
Опять же не сочтите за нахальную (а просто за :) рекламу --
но при озадаченности оной есть более подходящие линуксы.
Где база сразу не торчит, потому что майнтейнеры тоже так думают.
Мы ничего не потеряем, но сильно повысим надежность и
безопасность. vserver, например, рекомендуется использовать
даже если разделения не требуется - с одним экземпляром ос где
крутится всё что надо, на "голой" хост-системе.
ovz тоже -- это оставляет больше шансов остановить даже
проломленную машину, воспользовавшись доступом туда, куда
пускают совсем не отовсюду (в терминологии ovz это HN,
hwardware node).