Michael Shigorin wrote:
On Mon, Dec 24, 2007 at 10:20:32PM +0300, ph wrote:
Если нужна безопасность, главное правило - держать разные части
системы на разных машинах, и, лучше, не подключенных к
интернету, а запросы пропускать через риверс-прокси. База
данных точно должна быть видна только из локальной сети.
Опять же не сочтите за нахальную (а просто за :) рекламу --
но при озадаченности оной есть более подходящие линуксы.
Где база сразу не торчит, потому что майнтейнеры тоже так думают.
Вообще-то в дебиане база доступна только по 127.0.0.1 :)
Мы ничего не потеряем, но сильно повысим надежность и
безопасность. vserver, например, рекомендуется использовать
даже если разделения не требуется - с одним экземпляром ос где
крутится всё что надо, на "голой" хост-системе.
ovz тоже -- это оставляет больше шансов остановить даже
проломленную машину, воспользовавшись доступом туда, куда
пускают совсем не отовсюду (в терминологии ovz это HN,
hwardware node).
Ага. Примерно так я и делаю сейчас системы. В идеале - HW node вообще на
флешке.
--
Alex
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
