Re: виртуальныйе http-серверы: разграничение прав на скрипты

[Bogdan <bogdar@gmail.com>]

2010/7/11 Denis Feklushkin <denis.feklushkin@gmail.com>

Как добиться того чтобы скрипты, принадлежащие разным uid и gid, не мешали друг другу при запуске через fast cgi? Под мешанием понимаются вредоносные действия: запись/чтение чужих файлов, гроханье чужих скриптов и т.п.

Языки: перл, пхп, ещё какие–нибудь... lisp, во!

(городим виртуальный http-сервер)

Не то, чтобы совсем в тему, но опишу, как это сделано у меня:

1) Используется mpm itk, который позволяет каждый виртхост пускать под отдельным юзером и группой.
2) Впереди стоит nginx.
3) Для того, чтобы nginx отдавал статику www-data включается в первичную группу каждому юзеру

Профиты:
1) Апач не тратит жадные до памяти процессы для отдачи статики
2) Все апачевые модули отлично работаю без изменений - mod_php, mod_perl/mod_python/passenger. Юзеру вообще не надо думать, о том, что он работает в обстановке отличной от плохо настроеной cPanel на говнохостинге за 3 бакса.
3) Можно каждому виртхосту ограничть количество паралельных запросов.
4) Nginx отдает статику + служит реверсным прокси позволяя собирать в одной точке несколько бэкендов.

Минусы:
1) "Корневой" апач запущен под рутом. Если через реверсный nginx пролезет некий эксплоит - получат рута сразу.
-- 
WBR,  Bogdan B. Rudas