Ospitare più siti Web in modo sicuro

4

Sorprendentemente non sono riuscito a trovare argomenti correlati qui, quindi metterò questo. Ho più siti Web in esecuzione sullo stesso server, costruiti con vari CMS e framework. Devo isolarli completamente. Ho bisogno di questo perché in futuro voglio consentire ad alcuni dei miei clienti di ospitare siti Web su questi server, anche alcuni codici potenzialmente vulnerabili (siti pieni di plug-in wp obsoleti, eccetera). Dato che non voglio assumermi la responsabilità del codice dei client, devo assicurarmi che l'ambiente sia sicuro e se uno di questi viene violato, altri funzionano bene e il server stesso non è compromesso.

Quello che ho ora è un ambiente molto sperimentale con accesso sftp in chroot. Il problema è, (e potrebbero esserci anche altri fattori di rischio), che tutti i siti web sono gestiti dallo stesso utente del webserver, diciamo www-data . Quindi in teoria un attacco che coinvolge il caricamento di malware e l'esecuzione dal browser può danneggiare tutti i siti Web con codice di proprietà di www-data . Idee simili vengono in mente per l'utente del database di sistema (non per l'utente che fornisco al client, ma per l'utente che esegue il processo mysql).

Qual è la migliore pratica per gestire questo problema? Inoltre, se hai qualcosa, liste di controllo, qualunque cosa, non esitare a condividere:)

    
posta Rápli András 31.03.2016 - 14:41
fonte

1 risposta

3

Installa un hypervisor VM sui tuoi server e crea una macchina virtuale separata per ogni utente che esegue un proprio server web e istanza di database.

Quando non si dispone di un indirizzo IP pubblico univoco per ciascun utente, è possibile indirizzare tutte le voci DNS allo stesso IP pubblico in cui si esegue un proxy inverso che instrada ciascuna richiesta sull'IP-LAN della VM corretta. (effetto collaterale: dal punto di vista degli utenti, tutte le richieste sembreranno provenire dal proxy inverso).

Ciò consente all'utente di fare tutto ciò che desidera con la propria VM e quando si fottono completamente, è sufficiente ripristinare la VM. L'impostazione delle quote CPU e RAM per le macchine virtuali impedisce inoltre agli utenti di eseguire il DOS l'uno con l'altro attraverso l'utilizzo delle risorse.

Un altro vantaggio è che puoi consentire agli utenti di modificare la configurazione del server web senza alcun conflitto con altri utenti. Questo può essere utile quando gli utenti hanno requisiti in conflitto per determinate impostazioni o versioni del software.

    
risposta data 31.03.2016 - 15:12
fonte

Leggi altre domande sui tag