Запуск Apache 2.2 от нескольких пользователей

[dm07]

Всем здравствуйте. Собственно, прокомментируйте вариант решения такой задачи: WWW хостинг, Apache 2.2 должен запускаться от имени отдельного пользователя. Для простоты, каждому хостируемому сайту соответствует один пользователь с именем - доменным именем этого сайта. Для безопасности, каждый экземпляр Apache, который обслуживает конкретный сайт, должен быть запущен от имени соответствующего пользователя...Поскольку директивы user и group в VirtualHost не поддерживаются, пошел другим путем:
- front-end Nginx, висит на внешнем IP, порт 80
- backend Apache, для каждого сайта имеется свой конфиг Апача, со своими user и group. Запущен на 127.0.0.1 на непривелигированном порту...
Соответственно, Nginx, при получении запроса, в зависимости от введенного пользователем адреса URL (например, abc.ru), прокидывает коннекшен на 127.0.0.1 на порт, на котором обслуживается этот сайт.
Интересует мнение на тему пригодности данного решения с точки зрения эффективности, производительности, т.к. у самого нет практического опыта.
Знаю, есть экспериментальные модули под Apache, позволяющие запускать его от имени разных пользователей. Но во всех случаях, модули имеют статус бета.
Всем спасибо за ответ.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

с точки зрения эффективности, производительности

непригодно.

[manefesto]

проще рассувать по клеткам(jail) и не париться

[dm07]

проще рассувать по клеткам(jail) и не париться

Хорошо, а я в разных Jail'ах смогу повесить Apache на один и тот же порт?

[manefesto]

а почему бы и нет ?
я тебе дал пищу для размышлений...думай сам.

[dm07]

а почему бы и нет ?
я тебе дал пищу для размышлений...думай сам.

Хорошо, поставил JAIL для одного веб-сайта. Пробрасываю на него HTTP коннекшн через nginx. Дальше хочу, чтобы:
1) SSHD: при подключении к реальной машиен, в зависимости от введенного пользователя, пробрасывал коннекшн на соответствующий IP JAIL'а (ведь у меня белый IP - адрес реальной машины один, а JAIL'ы сидят в немаршрутизируемых сетях). Такое возможно? В крайнем случае, придется вешать SSHD на отдельный порт, и затем с помощью IPF на реальной машине пробрасывать коннекш на IP JAIL'а.
2) Как быть с FTP? Я хочу тоже, как в случае SSHD...

[zingel]

хостинговые серверы так не делают, не занимайся фигнёй, а настрой как все люди.

[ev]

а настрой как все люди

дык все по разному... кто-то как здесь в статьях, некоторые особо не заморачиваются, кто-то сам патчит апач (или юзает готовый старый патч для 1.3)... пока идеального решения не видел
вот еслиб можно было не перекомпиля ядро изменить макс_груп - это наверное был бы идеальный вариант

я вот недавно наткнулся что чувак юзает модуль апача недоделаный со своим патчем и у него переодически вирт.хосты виснут... решение - скрипт на пхп проверяющий висит или нет и ребут апача

еще один вариант - апач под ввв, каждый юзер в своей группе, но группа у файлов стоит ввв
следовательно получается юзеры не видят файлов друг друга, но апач их видит без проблем
плюс при таком подходе можно закрывать файлы от чтения / записи для апача

[zingel]

макс_груп - это наверное был бы идеальный вариант

limits.h поправь.

не видят файлов друг друга,

и не нужно это на хостинге.

[ev]

limits.h поправь.

и? потом ведь компилить все равно и мир пересобирать

и не нужно это на хостинге

очень даже нужно... хотя это все равно полумера
сейчас выход вроде только один - всех на fastcgi разносить

[zingel]

и? потом ведь компилить все равно и мир пересобирать

я не вижу тут проблемы

[dm07]

хостинговые серверы так не делают, не занимайся фигнёй, а настрой как все люди.

Поясните, как делают "все люди".

[manefesto]

хостинговые серверы так не делают, не занимайся фигнёй, а настрой как все люди.

Поясните, как делают "все люди".

chroot || jail

[dm07]

хостинговые серверы так не делают, не занимайся фигнёй, а настрой как все люди.

Поясните, как делают "все люди".

chroot || jail

Замечательно, сделал я JAIL для каждого клиента, крутится-вертится там Апаче, MySQL, SSH. Хорошо, когда я могу для себя взять по одному белому IP адресу на каждого клиента. А если у машины (на которой у меня куча JAILов), только один белый IP адрес,а JAILы висят на частных IP адресах? Можно сделать так, что в зависимости от введенного пользователя, был проброс на нужный JAIL?

[ev]

chroot || jail

не соглашусь
обычный шаред хостинг и на джайлах - занимают все таки разные ниши

[zg]

А если у машины (на которой у меня куча JAILов), только один белый IP адрес,а JAILы висят на частных IP адресах? Можно сделать так, что в зависимости от введенного пользователя, был проброс на нужный JAIL?

в ру-центре именно так и сделано. Есть один белый IP, за ним клетки на серых.

[dm07]

А если у машины (на которой у меня куча JAILов), только один белый IP адрес,а JAILы висят на частных IP адресах? Можно сделать так, что в зависимости от введенного пользователя, был проброс на нужный JAIL?

в ру-центре именно так и сделано. Есть один белый IP, за ним клетки на серых.

Сейчас пока у меня возможность проброса SSH при обращении на непривилигированный внешний порт, на соответствующий JAIL средствами IPF. Но ведь клиент наверняка не захочет подключаться по SSH по такому порту. Либо как выход, использовать OpenVPN для подключения к соответствующему JAILу клиента. А хотелось бы иметь стандартные порты для SSH, FTP и чтобы клиент не испытывал трудности.

[zg]

ру-центр делает проброс на основе доменного имени, по которому ты обращаешься. В принципе логично.

[dm07]

ру-центр делает проброс на основе доменного имени, по которому ты обращаешься. В принципе логично.

Переписывал исходники SSH, FTP и т.д. под эту фичу или есть стандартные решения?

[zg]

Переписывал исходники SSH, FTP и т.д. под эту фичу или есть стандартные решения?

да вроде там фронтенд стоит, который рулит перенаправлением на серые IP

[dm07]

Переписывал исходники SSH, FTP и т.д. под эту фичу или есть стандартные решения?

да вроде там фронтенд стоит, который рулит перенаправлением на серые IP

Т.е. правильно я понимаю, стандартного решения нет?

[zg]

фронтенд и есть стандартное решение

[dm07]

фронтенд и есть стандартное решение

Если знаете как, то поясните пожалуйста подробнее.