On Tuesday, 25.08.2015 10:37:20 paperroot wrote:
> Здравствуйте.
>
> Хочу написать патч, который будет отдавать контент предварительно
> setuid'ившись в системного пользователя указанного в конфиге virtual_host'a,
> для того чтобы обезопасить большое кол-во независимых проектов от разных
>
Т.е. все решается без костылей на уровне конфигов и правильной
расстановки прав на файлы.
так и есть
для того чтобы обезопасить большое кол-во независимых проектов от разных
пользователей, работающих на одном мощном сервере.
не вижу проблем с безопасностью када нджинкс работает под www и
достаточно пихнуть нджинкс в общую группу с хостами и расставить права.
Я бы внес уточнения в формулировку. Не в какую-то ОДНУ общую группу, а в Х
групп, где Х-количество системных аккаунтов из под которых работают
vhost-ы. Тогда достаточно на корневую директорию vhost поставить 0740 и
быть
Не в какую-то ОДНУ общую группу, а в Х групп, где Х-количество системных
аккаунтов из под которых работают vhost-ы.
/var/www/vhost1 - 740 - vhost1:www
/var/www/vhost2 - 740 - vhost2:www
/var/www/vhost3 - 740 - vhost3:www
или так
/var/www/vhost1 - 740 - vhost1:vhost1
/var/www/vhost2 - 740 -
В рассылке mpm-itk выкладывали сравнения производительности, падение было
5-10%, так что 2-3 раза то вы загнули
2015-08-26 18:25 GMT+03:00 Oleksandr V. Typlyns'kyi wangs...@gmail.com:
Today Aug 26, 2015 at 16:43 navern wrote:
В апаче есть mod_itk и там такой проблемы нет. Но там fork
Today Aug 26, 2015 at 18:45 Alex Domoradov wrote:
В рассылке mpm-itk выкладывали сравнения производительности, падение было
5-10%, так что 2-3 раза то вы загнули
Это на обслуживании только динамики, где львиную долю занимает
интерпретатор языка или сайта вцелом с кучей fork-ов на кучу
pagespeed - это странный модуль. если у вас ненагруженный сайт, мало
трафика, вы спокойно проживете без него, если нагруженный, поверьте,
манипуляции с контентом на лету - это не то, что вам захочется делать на
нагруженном сайте.
есть куча инструментов, которые оптимизируют статику, всякие
Konstantin Tokarev Wrote:
---
25.08.2015, 17:37, paperroot nginx-fo...@nginx.us:
Здравствуйте.
Хочу написать патч, который будет отдавать контент предварительно
setuid'ившись в системного пользователя указанного в конфиге
26 авг. 2015 г. 12:01 пользователь paperroot nginx-fo...@nginx.us
написал:
Konstantin Tokarev Wrote:
---
25.08.2015, 17:37, paperroot nginx-fo...@nginx.us:
Здравствуйте.
Хочу написать патч, который будет отдавать контент
В вашем случае будет несколько процессов nginx под разными пользователями,
но как.. как вы будете коннекту приказывать подключиться к тому или иному
процессу, если на этапе коннекта вы не знаете к какому сайту будет запрос?
26 августа 2015 г., 12:00 пользователь paperroot nginx-fo...@nginx.us
On 26.08.2015 14:25, Daniel Podolsky wrote:
но если на одном сервере тысячи клиентов, то такое решение уже совсем не
подходит.
да почему же? dedup страниц памяти на основании inode исполнимого
файла/библиотеки не делся никуда же...
___
nginx-ru
Такое - это более тысячи nginx бинарников, каждый запущенный из-под своего
пользователя.
нет, в проде я такого не видел, у меня другая специализация. но и
препятствий к этому не вижу никаких переключения контекста современный
проц уж как-нибудь отработает.
правда, следует заметить, что
Где-то такое видели уже в продакшене? Не тестировал, но уверен оверхед и
накладные расходы(не говоря уж о количестве процессов и управлении всем
этим) будут достаточно большие. Если где-то такое работает, то хотелось бы
про это почитать.
такое - это какое? дедап? он приделан к ядру линуксовому
On 26.08.2015 15:05, Daniel Podolsky wrote:
Где-то такое видели уже в продакшене? Не тестировал, но уверен оверхед и
накладные расходы(не говоря уж о количестве процессов и управлении всем
этим) будут достаточно большие. Если где-то такое работает, то хотелось бы
про это почитать.
такое - это
но если на одном сервере тысячи клиентов, то такое решение уже совсем не
подходит.
да почему же? dedup страниц памяти на основании inode исполнимого
файла/библиотеки не делся никуда же...
___
nginx-ru mailing list
nginx-ru@nginx.org
Думаю, что в поддержке такая система потребует много времени. Я вот,
например, использую примерно такую конструкцию
VirtualHost *:80
ServerName staging.example.net
ServerAlias *.example.net
UseCanonicalName Off
VirtualDocumentRoot /vhosts/example.net/%1
DirectoryIndex
Не выглядит это как производительное решение.
никто же не мешает просто взять и померять.
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
On 08/25/15 17:37, paperroot wrote:
Хочу написать патч, который будет отдавать контент предварительно
setuid'ившись в системного пользователя указанного в конфиге virtual_host'a,
для того чтобы обезопасить большое кол-во независимых проектов от разных
пользователей, работающих на одном мощном
для того чтобы обезопасить большое кол-во независимых проектов от разных
пользователей, работающих на одном мощном сервере.
nginx+php-fpm, каждый требующий изоляции проект заводится в своем pool-е (я
для fpm при этом еще и chroot делаю). На корневую папку проекта ставим
права 740, при этом nginx
On 26.08.2015 15:38, Daniel Podolsky wrote:
Такое - это более тысячи nginx бинарников, каждый запущенный из-под своего
пользователя.
нет, в проде я такого не видел, у меня другая специализация. но и
препятствий к этому не вижу никаких переключения контекста современный
проц уж как-нибудь
В апаче есть mod_itk и там такой проблемы нет. Но там fork работает,
поэтому что-то подобное проще сделать.
классная штука, только вот при использовании mod_fcgid, к сожалению, нельзя
запустить сайт от пользователя отличного от apache. И это его самый большой
минус пожалуй
2015-08-26 16:50
Кстати, а опишите задачу полностью, наверняка решается без подобного
кодоблудия.
25 августа 2015 г., 17:37 пользователь paperroot nginx-fo...@nginx.us
написал:
Здравствуйте.
Хочу написать патч, который будет отдавать контент предварительно
setuid'ившись в системного пользователя указанного в
Today Aug 26, 2015 at 16:43 navern wrote:
В апаче есть mod_itk и там такой проблемы нет. Но там fork работает,
поэтому что-то подобное проще сделать.
И производительность с ним в 2-3 раза ниже, а число процессов вдвое выше.
Ибо висят они изначально от root, а под каждый запрос делают
25.08.2015, 17:37, paperroot nginx-fo...@nginx.us:
Здравствуйте.
Хочу написать патч, который будет отдавать контент предварительно
setuid'ившись в системного пользователя указанного в конфиге virtual_host'a,
для того чтобы обезопасить большое кол-во независимых проектов от разных
24 matches
Mail list logo