FreeBSD监狱和套接字

Question

我对从Linux切换到freeBSD非常陌生。

我读过关于监狱的文章，这个解决方案听起来很适合服务器系统。所以我的网络服务器的想法是创建3个监狱。一个监狱是mysql，一个是nginx，另一个是php。现在监狱必须互相沟通。我该怎么做？

通过IP？这将是一个巨大的开销，但安全。下面是一个示例：

• 客户端
  • -> TCP/IP -> ->
  • -> TCP/IP ->
  • -> TCP/IP -> MYSQL
  • -> TCP/IP ->
  • -> TCP/IP -> ->
  • -> TCP/IP ->客户端

​

用套接字:那将是一个安全洛斯..。

• 在主机系统上创建目录
• 在监狱中创建目录
• 合并目录

您使用哪种解决方案?还是您有更好的解决方案？

Answer 1

我不会分离php，但这是可能的。目前IP通信的开销并不大，考虑到数据库和php处理器需要进行的处理要大得多，也没有那么重要。特别是因为没有实际的电线。数据包是通过环回结构通过接口路由的，并且不触及线路。

分离的好处是，如果需要的话，你可以把监狱搬到另一个物理机器上，而移动监狱是一件轻而易举的事情。

要澄清为什么不将php移动到单独的监狱中，修改网站将成为静态内容(图像)和动态内容(php文件)的两个任务过程。其优点是php服务器软件中的漏洞无法修改php代码。这也是为什么您不应该空飞碟您的php代码到网络服务器监狱，如果您计划分开，因为它将击败它的优势。

Answer 2

我真的不知道这是否是最好的解决方案，但是如果您可以使用Unix domain sockets，您可以在这三个监狱之间共享一个挂载。名称空间是孤立的(它们不能在共享挂载点之外创建一个套接字)，它们应该能够通信。

要创建共享挂载，可以使用nullfs挂载。一个不错的(相当高级的) 监狱指南也谈到了nullfs挂载。当然，这个挂载点应该只对套接字使用，其他文件应该保持独立。

同样，我不知道这些应用程序是否可以通过Unix套接字进行通信，但如果可以，您可能已经设置好了。