Stanislav Ievlev пишет: >> Не очень понял. А как тогда модуль управления VPS с HN конектится к >> альтератору в VPS? Неужели обращаясь локально к /var/lib/vz.... ? >> >> Нет, там хитрая схема: >> через vzctl exec происходило обращение к внутреннему alterator'у, и >> его "картинка" интегрировалась в основной интерфейс, опять-таки все >> ответы обратно транслировались во-внутрь ;) >> >> Не радостная картина. :-( >> > А по мне так наоборот. Не надо иметь явных каналов между VE, то есть > не нарушается их полная изоляция и взаимозаменяемость. > Я имел ввиду что не возможно управлять другим сервером. Или управлять VPS из другого VPS. Возможно на данном этапе это лучший вариант. >> А еще возник вопрос/пожелание. Если пускать будет всех пользователей, то >> думаю необходимо чтобы бэкенд выполнялся с правами пользователя. И рабочая >> директория бэкенда устанавливалась в $HOME >> Как насчет этого? >> > Надо подсчитать все плюсы и минусы. Пока мне кажется это принесёт > больше проблем чем пользы. > Хорошо, а как тогда решать вопрос с безопасностью? Например есть модуль управления файлами. Что-то типа файлового менеджера через веб. Любая панель управления хостингом имеет такое. И если пользователь сможет залогиниться, то он получает доступ к файлам с правами root, т.к. configd работает от него. Получается что эту проблему нужно решать или в самом модуле, или в альтераторе. И думаю в альтераторе это надежнее.
Нужно предусмотреть возможность, что если разрешать логиниться всем, а потом с помощью ACL разруливать доступ к модулям, то нужно также по умолчанию запускать бэкенд с правами того пользователя который залогинился. И только по специальному разрешению запускать модуль с правами рута, если пользователь не рут. -- WBR, Dubrovskiy Vyacheslav
smime.p7s
Description: S/MIME Cryptographic Signature
_______________________________________________ devel-conf mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/devel-conf
