Изоляция пользователей хостинга с помощью ОС МСВСфера 9 (Алексей Бережок, OSDAY-2025)

http://0x1.tv/20250620I
Изоляция пользователей хостинга с помощью ОС МСВСфера 9 (Алексей Бережок, OSDAY-2025) Алексей Бережок ------------- Проблемы шаред-хостинга: Один пользователь может монополизировать CPU неоптимизированными PHP-скриптами Чрезмерное потребление дискового пространства и памяти Многочисленные cron-задачи нарушают баланс ресурсов Риск распространения последствий взлома между пользователями Уязвимости в настройках доступа приводят к утечкам информации Fork-бомбы и другие атаки на стабильность Недостатки существующих решений: Виртуальные серверы (KVM): требуют полной реорганизации инфраструктуры, исключают использование стандартных панелей управления Docker-контейнеры: вызывают перерасход диска и памяти, нуждаются в реорганизации сервера Ручное администрирование: высокий риск дорогостоящих ошибок в настройках Решение «LS и LimitedFS»: Сервис лимитирования LS: ограничивает CPU, память, SWAP и процессы через cgroups Сервис изоляции файловой системы LimitedFS: использует pivot_root для создания персональных "скелетов" ФС в режиме RO Минимальные изменения в ПО: доработаны Apache, PAM, PHP-FPM и другие компоненты Механизм "погружения" процессов через API в изолированную среду