Я являюсь членом большой группы (академического отдела), использующей центральный сервер GNU/Linux. Я хотел бы иметь возможность устанавливать веб-приложения, такие как instiki, запускать репозитории контроля версий и предоставлять контент через Интернет. Но администраторы не допустят этого из-за проблем безопасности. Есть ли у них способ изолировать меня, защитить свои серверы на случай, если меня взломают? Каково стандартное решение для такой проблемы?
1 ответ
Стандартное решение для этого - виртуализация. Вы создаете виртуальную машину, содержащую вашу конкретную конфигурацию, а затем размещаете ее на каком-либо сервере.
Существует несколько разных уровней виртуализации. XEN HVM и Linux KVM являются примерами гипервизора, который может запускать неизмененный экземпляр гостевой операционной системы. Каждому экземпляру выделяется своя память, остальные ресурсы компьютера могут быть общими.
LXC, OpenVZ и Linux-VServer являются более легкими расширениями подхода песочницы на основе chroot. Преимущество в таком случае заключается в том, что все экземпляры могут иметь доступ к полным ресурсам машины (если это разрешено), но все экземпляры имеют общее соответственно расширенное ядро. Даже в этом случае у вас может быть другой экземпляр дистрибутива Linux, работающий на вашем сервере Debian.
Вы можете подключиться к NFS из всех вышеперечисленных экземпляров виртуальной машины.