On Tuesday, 25.08.2015 10:37:20 paperroot wrote:
> Здравствуйте.
>
> Хочу написать патч, который будет отдавать контент предварительно
> setuid'ившись в системного пользователя указанного в конфиге virtual_host'a,
> для того чтобы обезопасить большое кол-во независимых про
Т.е. все решается без костылей на уровне конфигов и правильной
расстановки прав на файлы.
так и есть
для того чтобы обезопасить большое кол-во независимых проектов от разных
пользователей, работающих на одном мощном сервере.
не вижу проблем с безопасностью када нджинкс работает под www и
достаточно пихнуть нджинкс в общую группу с хостами и расставить права.
Я бы внес уточнения в формулировку. Не в какую-то ОДНУ общую группу, а в Х
групп, где Х-количество системных аккаунтов из под которых работают
vhost-ы. Тогда достаточно на корневую директорию vhost поставить 0740 и
быть
Не в какую-то ОДНУ общую группу, а в Х групп, где Х-количество системных
аккаунтов из под которых работают vhost-ы.
/var/www/vhost1 - 740 - vhost1:www
/var/www/vhost2 - 740 - vhost2:www
/var/www/vhost3 - 740 - vhost3:www
или так
/var/www/vhost1 - 740 - vhost1:vhost1
/var/www/vhost2 - 740 -
В рассылке mpm-itk выкладывали сравнения производительности, падение было
5-10%, так что 2-3 раза то вы загнули
2015-08-26 18:25 GMT+03:00 Oleksandr V. Typlyns'kyi wangs...@gmail.com:
Today Aug 26, 2015 at 16:43 navern wrote:
В апаче есть mod_itk и там такой проблемы нет. Но там fork
Today Aug 26, 2015 at 18:45 Alex Domoradov wrote:
В рассылке mpm-itk выкладывали сравнения производительности, падение было
5-10%, так что 2-3 раза то вы загнули
Это на обслуживании только динамики, где львиную долю занимает
интерпретатор языка или сайта вцелом с кучей fork-ов на кучу
бандлеры,
jpegoptim, spriteme и т.д.
25 августа 2015 г., 19:37 пользователь paperroot nginx-fo...@nginx.us
написал:
Здравствуйте.
Хочу написать патч, который будет отдавать контент предварительно
setuid'ившись в системного пользователя указанного в конфиге
virtual_host'a,
для того чтобы
Konstantin Tokarev Wrote:
---
25.08.2015, 17:37, paperroot nginx-fo...@nginx.us:
Здравствуйте.
Хочу написать патч, который будет отдавать контент предварительно
setuid'ившись в системного пользователя указанного в конфиге
virtual_host'a
26 авг. 2015 г. 12:01 пользователь paperroot nginx-fo...@nginx.us
написал:
Konstantin Tokarev Wrote:
---
25.08.2015, 17:37, paperroot nginx-fo...@nginx.us:
Здравствуйте.
Хочу написать патч, который будет отдавать контент
написал:
Konstantin Tokarev Wrote:
---
25.08.2015, 17:37, paperroot nginx-fo...@nginx.us:
Здравствуйте.
Хочу написать патч, который будет отдавать контент предварительно
setuid'ившись в системного пользователя указанного в конфиге
On 26.08.2015 14:25, Daniel Podolsky wrote:
но если на одном сервере тысячи клиентов, то такое решение уже совсем не
подходит.
да почему же? dedup страниц памяти на основании inode исполнимого
файла/библиотеки не делся никуда же...
___
nginx-ru
Такое - это более тысячи nginx бинарников, каждый запущенный из-под своего
пользователя.
нет, в проде я такого не видел, у меня другая специализация. но и
препятствий к этому не вижу никаких переключения контекста современный
проц уж как-нибудь отработает.
правда, следует заметить, что
Где-то такое видели уже в продакшене? Не тестировал, но уверен оверхед и
накладные расходы(не говоря уж о количестве процессов и управлении всем
этим) будут достаточно большие. Если где-то такое работает, то хотелось бы
про это почитать.
такое - это какое? дедап? он приделан к ядру линуксовому
On 26.08.2015 15:05, Daniel Podolsky wrote:
Где-то такое видели уже в продакшене? Не тестировал, но уверен оверхед и
накладные расходы(не говоря уж о количестве процессов и управлении всем
этим) будут достаточно большие. Если где-то такое работает, то хотелось бы
про это почитать.
такое - это
но если на одном сервере тысячи клиентов, то такое решение уже совсем не
подходит.
да почему же? dedup страниц памяти на основании inode исполнимого
файла/библиотеки не делся никуда же...
___
nginx-ru mailing list
nginx-ru@nginx.org
.
# useradd -s /sbin/nologin -d /vhosts/example.net/project1 stg_project1
единственный минус - нет возможности одновременно запускать несколько
версий php, а часто бывает нужно.
2015-08-26 17:02 GMT+03:00 Anton Yuzhaninov cit...@citrin.ru:
On 08/25/15 17:37, paperroot wrote:
Хочу написать
Не выглядит это как производительное решение.
никто же не мешает просто взять и померять.
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
On 08/25/15 17:37, paperroot wrote:
Хочу написать патч, который будет отдавать контент предварительно
setuid'ившись в системного пользователя указанного в конфиге virtual_host'a,
для того чтобы обезопасить большое кол-во независимых проектов от разных
пользователей, работающих на одном мощном
должен входить в группу которая имеет доступ к
файлам проекта. Т.е. все решается без костылей на уровне конфигов и
правильной расстановки прав на файлы.
25 августа 2015 г., 18:37 пользователь paperroot nginx-fo...@nginx.us
написал:
Здравствуйте.
Хочу написать патч, который будет отдавать
On 26.08.2015 15:38, Daniel Podolsky wrote:
Такое - это более тысячи nginx бинарников, каждый запущенный из-под своего
пользователя.
нет, в проде я такого не видел, у меня другая специализация. но и
препятствий к этому не вижу никаких переключения контекста современный
проц уж как-нибудь
:
Здравствуйте.
Хочу написать патч, который будет отдавать контент предварительно
setuid'ившись в системного пользователя указанного в конфиге
virtual_host'a,
для того чтобы обезопасить большое кол-во независимых проектов от разных
пользователей, работающих на одном мощном сервере.
Сделал правку в файле
Кстати, а опишите задачу полностью, наверняка решается без подобного
кодоблудия.
25 августа 2015 г., 17:37 пользователь paperroot nginx-fo...@nginx.us
написал:
Здравствуйте.
Хочу написать патч, который будет отдавать контент предварительно
setuid'ившись в системного пользователя указанного в
Today Aug 26, 2015 at 16:43 navern wrote:
В апаче есть mod_itk и там такой проблемы нет. Но там fork работает,
поэтому что-то подобное проще сделать.
И производительность с ним в 2-3 раза ниже, а число процессов вдвое выше.
Ибо висят они изначально от root, а под каждый запрос делают
Здравствуйте.
Хочу написать патч, который будет отдавать контент предварительно
setuid'ившись в системного пользователя указанного в конфиге virtual_host'a,
для того чтобы обезопасить большое кол-во независимых проектов от разных
пользователей, работающих на одном мощном сервере.
Сделал правку в
25.08.2015, 17:37, paperroot nginx-fo...@nginx.us:
Здравствуйте.
Хочу написать патч, который будет отдавать контент предварительно
setuid'ившись в системного пользователя указанного в конфиге virtual_host'a,
для того чтобы обезопасить большое кол-во независимых проектов от разных
25 matches
Mail list logo