Apacheを別プロセスで

ベストがいかなるもんかわからない。しかし類推されやすい方法が良いということで。今回ＩＤごとにApacheを使うことにした。あんまし語りたくないので具体的な方法は割愛します。まずナントカして固定ＩＰを持つこと。理由はＤＤＮＳだとログ解析が煩雑になります。安く掴む方法はあります。外部に固定ＩＰのプロキシを持つのも有効だと思います。WAN側にデフォルトゲートウェイがあれば、そもそも管理がし易いです。私は今この状態です。このブログを書いてる時は違いますが。ルーターのところではちょっとしたことでわからなくなります。プロキシはキャッシュをため込むのでココに目をつけられるかも知れません。しかし不明な怪しいフラグでもまんまやってくるわけですから、ルーターを騙して妙なフラグつけたスキャンされるより、よっぽどマシです。別にたいしたアイデアではありません。問題を煩雑にしないこと。一番はココ。それとやっぱり何が何でもリモートログインは駄目です。ＶＰＮだろうとＳＳＬだろうとＶＮＣだろうと。流れている暗号文でも始めのフラグに自分のハッシュをつけて送るやつがいますし。従い応答もそのハッシュが使われます。途中でコピーを頂いてそのまま流せばいいわけですし。確実にばれません。そこでトークンを使うわけですが、しかしそのワンタイムの暗号も信頼性はフォームに入力したとたん一気に信頼性が薄くなります。
水際で防いでいることに代わりがありません。独立したユーザーが限られた入り口しか出入りせず、しかもほとんど独立したプロセスで実行していれば、少なくとも多少は改善されるでしょう。まず外部にポートを開いているプロセスををよく知られたディレクトリで実行してはいけません。できればシステムに影響を与えないユーザーの独立したＰＩＤにするべきです。
もしもディレクトリが何らかの理由があって外部に公開するときは、システムに切り離せる状態が望ましい。プロトコルを一つだけに絞ってプロセスが二つあればいいのです。
サーバーなら多くのことを一プロセスで実行してはいけません。現在root以外で3ＩＤで二つの異なるApacheを動作させています。まだ安全面では考慮が必要ですが、それぞれ一つのサーバーで動作しています。もちろんIPはひとつです。設定は簡単です。単純です。
こうすることで一方の設定が他方の安全を脅かすことはありません。それに使い慣れた環境を犠牲に安全ということは矛盾しています。pid - auxでプロセスを眺めていてそう思いました。
名前は同じでも別プロセスなら使いやすいのに、と。云っておきますがバーチャルホストは非常にキケンです。そんなこととするくらいならJail環境を用意すべきです。