Подпишусь.

Для разнообразия хочу разобраться со своим шлаком на пыхпых, пока придумал только разбивать по контейнерам из шаблона, на фронте nginx и дальше рулим на контейнеры по хосту.

Правда у меня их дофига, но в принипе написать restful для отслеживания такой фишки не проблема.

Думаю lxc круче для этого, хотя я лучше умею готовить Docker.

и этот пользователь должен иметь доступ ко всем виртуал хостам.

Только к статике которая и так через web всем доступна, да и то многие статику вообще на отдельный сервер убирают. Так что имхо проблема надумана.

Да, точняк. Но это если этой твой апп, и ты можешь его хоть немного менять под себя.

Но как правило (у меня так точно) это чужой индусокод в котором нет желания и времени разбираться, тут думаешь уже что бы оно не покоцало юзерфайлы.

а если не обходят, то почему.

Да когда вы уже поймёте, что nginx и есть reverse proxy, это его основная задача, и не нужно совать его в любую подходящую нишу под бой пионерских барабанов :)

у меня вопрос изоляции шлака (пых пых на fpm) он не шлака, ты советуешь еще и апач туда вфигачить что ли :)

там предложено довольно мудреное, хотя и безопасное, - запускать отдельный экземпляр nginx для каждого вхоста и перед ними ставить общий реверс-прокси.

мудреное

Очевидное же. Мудреное это лезть во внутренности nginx.

на хост сервере нгинкс в роли хттп-прокси, на каждой виртуалке свой нгинкс. работает не первый год.

Спасибо. Это не совсем ответ на вопрос, однако он указывает верное направление мысли. и router еще в тему пишет.

А когда в последний раз в nginx находили уязвимость позволяющую выполнить произвольный код, или ещё что-то такое?
Наверняка что-то такое было, но я вспомнить не могу.

Возможно никогда, но это не значит что и не найдут. За последний год нашли столько уязвимостей в казалось бы простых местах, что зарекаться не стоит.

«Простые места» это вроде openssl?
Всё-таки серьёзная уязвимость в Nginx это далеко не самая главная вероятность факапа.

Потому что nginx зачастую раздает только статику. Динамические же запросы проксируются на бекенд, который обычно запущен с правами вполне конкретного пользователя и имеет вполне конкретные системные права. Реальные и чоткие.

(пых пых на fpm)

Что мешает запускать php-fpm от разных юзеров (или в разных контейнерах) и проксировать одним nginx'ом каждый вирт. хост к своему php-fpm'у?

fastcgi + пулы php-fpm

Это и было единственным пока что решением, которое намыслил.

Наверное главное что мешает - их дофига, вручную это будет геморрно :)

Ну и по контейнерам я не решил что юзать, в принципе варианта два - Docker или LXC. В докере все предельно круто, кроме сети...

в принципе варианта два - Docker или LXC

Еще openvz.

ядро не катит, да и не нравится мне оно

ядро не катит, да и не нравится мне оно

Дело хозяйское, конечно, но судя по моему (непродолжительному) опыту работы в одном IT-аутсорсере, nginx и php-fpm внутри ovz-контейнера — вполне себе промышленное решение.

«Простые места» это вроде openssl?

хартблид и шеллшок многого стоят.

openssl это ни разу не простое место, это адский комбайн.
Да и bash не так уж прост.

Названные факапы были громкими, шуму от них было много. А кроме них регулярно находят кучи гораздо менее шумных уязвимостей в других приложениях.

Веростность быть сбитым автомобилем всё-ещё выше чем вероятность разбиться в самолёте, несмотря на то что о крушениях самолётов трубят во всех СМИ, и их почему-то принято бояться.

Статья

Еще статья по теме добавления виртуальных хостов на nginx https://shneider-host.ru/blog/dobavlenie-virtualnyh-hostov-na-nginx.html

Ты это к чему? Настройка виртуальных хостов прекрасно описана в документации самого nginx, но здесь-то разговор не об этом.

lxc, docker

Пихаешь ссылку во все сайты, где видишь слово nginx? Мне в блоге несколько часов назад ссылку закинул, спамер.

https://www.howtoforge.com/php-fpm-nginx-security-in-shared-hosting-environme...

Оно ?

нет, там изолируются инстансы php, но nginx бежит от одного пользователя, который имеет доступ ко всем файлам всех хостов. т.е. экспулуатируем уязвимость в nginx, и получаем доступ ко всем вхостам.