On Mon, Jul 12, 2010 at 05:00:16PM +0800, Denis Feklushkin wrote:
> On Mon, 12 Jul 2010 12:52:03 +0400
> Mikhail A Antonov <bart@solarnet.ru> wrote:
[нет, я писал:]
> > >> Запускайте один Apache и
> > >> научите его запускать скрипты каждого юзера с собственным uid и gid.
> > >> (да, нужно немножко поковылятся из сырцов mod_suexec и mod_fcgid, чтобы этoгo
> ^^^^^^^^^^
> > >> добытся, но не очень сложно; может быть, на этoт раз я и вправду опубликую
> > >> патчов, которых для этoгo сделал)
> > >
[потом Денис писал:]
> > > Вроде это уже без патчей можно
> >
[потом Михаил писал:]
> > Можно. suexec уже есть.
> >
>
> ?
Я не выразился правильно. Мои патчи:
1. suexec (как част apache2):
- поддержка SuexecUserGroup в <Location> и <Directory> - внутренние нужди
- новая директива SuexecChroot, чтоб делал chroot(2)
2. cgid (как част apache2):
- поддержка RLimit* когда испольняет скрипты
3. fcgid (libapache2-mod-fcgid):
- новая директива SuexecChroot, чтоб делал chroot(2)
- поддержка RLimit* когда испольняет скрипты
4. suphp
- setid-mode=force, чтоб выполнял юзерские скрипты с их uid/gid
- sigprocmask(0), чтоб PHP скрипты не игнорировали блокированые
apache-ем сигнали
Так что, да, SuexecUserGroup уже ест, мои патчи добавляют SuexecChrootDir
и не игнорируют RLimit*.
Всего лучшего,
Петр
--
Peter Pentchev roam@space.bg roam@ringlet.net roam@FreeBSD.org
PGP key: http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553
I am not the subject of this sentence.
Attachment:
signature.asc
Description: Digital signature