Witam.
Mam sobie VM z Lennym na której siedzi masa domen upakowana do jednego katalogu jako vhosty (w konfiguracji nginxa rozwiązałem to za pomocą $host jako root). Wszystko to hula razem z php-cgi bardzo szybko, ale jak widać jest dość mało szczelne - wystarczy, że jedna strona w php będzie dziurawa i już ktoś się panoszy po katalogach wszystkich domen. Gdyby tych domen było kilka wystarczyłoby odpalać osobne instancje php/nginxa na każdą domenę jako inny użytkowniki byłoby po balu. Niestety przy 100-200 domenach jest to mało sensowne rozwiązanie.
Wydaje mi się, że SELinux niewiele tutaj pomoże (jeśli mamy jedną instancje php-cgi...) - jak jest z grsecurity lub apparmorem (chociaż odpalanie tego drugiego na Debianie to podobno niezła zmora i łatanie jaja na lewo i prawo...)?
W ostateczności będę się paprał w apache z ultra ślimaczym mod_security i ngnix jako serwerem statycznych plików, ale jak się pewnie domyślacie - nie w smak mi takie rozwiązanie.
Jeśli macie doświadczenia w tym temacie lub pomysły, będę bardzo wdzięczny za pomoc.
Dodane:
Jedyne co wygrzebałem z internetu/irca to php-fpm, które pozwala na łatwe korzystanie z chroot, tworzenie osobnych gniazd/portów z różnymi prawami, itp.