Необходимо найти безопасную настройку, которая позволит мне контролировать трафик на основе имен хостов.
Например, сейчас я работаю с небольшим списком людей на маленькой машине. У каждого из этих людей есть виртуальный хост apache с настроенным php, на котором они размещают свои пользовательские веб-страницы.
Моя борьба начинается, когда они начинают использовать «ненадежные плагины php» на указанных виртуальных хостах. Все перепробовал: disable_functions, suhosin, open_basedir, лажа.
Мне нужна полная изоляция. Я хочу, чтобы каждый из этих людей был на своей физической или виртуальной машине, а я или главный сервер, который слушает порт 80 443, «направляет» трафик на определенные IP-адреса и порты и минимизирует ущерб, причиненный нарушением безопасности.
Какие есть варианты по сложности и цене?
Это всего лишь совет:
Похоже, у вас есть несколько клиентов на одном сервере «apache / nginx» с «виртуальным хостом», в этом конкретном случае я рекомендую использовать Docker с использованием «docker-compose», а вы можете использовать «Сети"частный и изолированный при минимальных затратах. (Я чувствую, что на данный момент приоритетом будет сокращение затрат)
Таким образом, каждый клиент может создавать свои собственные модули PHP, свои собственные Версия PHP, каждый клиент может подключиться к своему собственный порт и SSH сервер отдельно, чтобы у них был доступ для изменения своих файлов, среди многих других утилит
И в зависимости от архитектуры, которая вам нужна, вы можете поддерживать единую базу данных на реальном компьютере (что я рекомендую для операций ввода-вывода в секунду и доступа к ядру), или вы также можете изолировать базы данных от клиента (будьте осторожны ... если они используют INNODB и не MYISAM, потребление каждого сервера MYSQL может быть вызвано в зависимости от конфигурации кеша для оперативной памяти)
Желаю успехов в вашем проекте