В основном я контролирую несколько серверов и размещаю только статические веб-сайты или сценарии, которые я разработал, поэтому я доверяю им до определенной степени.
Однако у меня есть несколько клиентов, которые хотят начать использовать скрипты, такие как Wordpress или многие другие, и им нужен полный контроль над своей учетной записью.
Я начал делать основы - как и в случае с php.ini, я заблокировал его и ограничил команды, такие как proc, однако, очевидно, что я могу сделать гораздо больше.
прямо сейчас, используя разрешения NTFS, я пытаюсь заблокировать сервер, запустив пулы приложений и отдельные сайты в их собственном пользователе, однако мне кажется, что я бью кирпичные стены ... (Мой старый вопрос о сбое сервера).
На данный момент единственный путь, который я могу придумать, - это либо реализовать готовую панель управления, что будет дорого и, откровенно говоря, чрезмерно, либо посмотреть на Руководство Microsoft - что действительно для всей инфраструктуры, а не для тех, кто просто хочет заблокировать несколько серверов.
Есть ли у кого-нибудь руководства, которые могут направить меня на правильный путь?
Во-первых, я делаю некоторые предположения, поэтому, пожалуйста, извините, если я упустил суть вашего вопроса. Я предполагаю, что вы предоставляете некоторые услуги веб-хостинга для некоторых из своих клиентов, и теперь они просят контроля над веб-хостингом, в отличие от того, что вы делаете всю работу за них.
Два слова: виртуальная машина. Не давайте им доступ к вашему веб-серверу. Предоставьте им полный контроль над экземпляром виртуальной машины - если они его испортят, ваш более ценный хост не пострадает и не пострадает - только их сайты и службы. Затем вы можете предоставить им административный контроль над экземпляром и не беспокоиться об этом (за исключением резервных копий их первоначального экземпляра, но это зависит от вашего контракта с вашими клиентами). Они также почувствуют себя особенными, если вы дадите им учетную запись администратора. :-) Я очень рекомендую этот путь, если это возможно для вас.
Если это не вариант, и вы согласны с тем, чтобы поделиться своей хост-системой с вашими клиентами, я бы предложил разделить один из ваших дисковых массивов, чтобы у вашего клиента был собственный том для размещения своих сайтов и данных. Вы можете создать для них базовый каталог в своем собственном, но тогда вам придется возиться с разрешениями NTFS и наследованием, что, в зависимости от сложности вашей файловой системы, может стать уродливым.
Если это вариант, гораздо проще создать новый том / раздел - с их собственным томом для использования безопасность будет намного, намного проще, так как вы можете дать им полный контроль над объемом, и вы также можете назначить ограничения дискового пространства, чтобы они не могли заполнить ваши диски и остановить вашу систему.
Я думаю, что вы на правильном пути с отдельными пулами приложений и отдельными сайтами. Вы можете посмотреть эту статью на делегирование прав на управление сайтами и приложениями (iis7). Будет сложнее, если они начнут использовать базы данных - однако, если все, что они хотят сделать, это разместить некоторый статический контент, вышеуказанное должно удерживать их от безумия.