LINUX.ORG.RU
ФорумAdmin

Sandbox для fastcgi-процесса.


0

0

Всем привет.

У меня есть необходимость запускать кучу процессов fastcgi (rails, django, php-cgi) и хочется сделать для таких процессов песочницы, что-бы внешней фс для этому процессу видно не было, только его папка да и та только на чтение. Я вижу два способа сделать это и оба кривые:

1) Делать chroot в папку, в которую надо кинуть все необходимые бинарники и либы.

2) Поставить на все файлы acl запрещающую чтение, оставить read только на файлы в папке.

Есть ли способ сделать такое по-человечески?


имхо нет такого и быть не может (если не предусмотрено самим fcgi-процессом, на подобии php-fpm)

разве что взять какой-нить грязный хак, на подобии гентушного sandbox, и попытаться там настроить доступ? но это повлечет массу тормозов при интенсивной работе, имхо...
проще сделать чрут или вообще в контейнер положить эти процессы вместе с хомяком...

r0mik
()

Я тупо каждому сайту своего юзера создал, друг к другу лазить они не могут. Имхо этого достаточно в большинстве случаев. Мона и linux containers как предлагает nnz, но всё равно chroot надо городить.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

проще всего городить чрут. контейнеры (lxc) по сути тот же чрут, просто с управлением ресурсами посредством cgroups. короче контейнеры ему не нужны, имхо

r0mik
()
Ответ на: комментарий от r0mik

Контейнеры нужны когда нужно чтобы группа процессов не смогла захавать все ресурсы. На шаред-хостинге это бывает полезно.

true_admin ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.