Re: виртуальныйе http-серверы: разграничение прав на скрипты
On Mon, 12 Jul 2010 14:09:15 +0300
Peter Pentchev <roam@ringlet.net> wrote:
> On Mon, Jul 12, 2010 at 06:45:57PM +0800, Denis Feklushkin wrote:
> > On Mon, 12 Jul 2010 18:23:46 +0800
> > Denis Feklushkin <denis.feklushkin@gmail.com> wrote:
> >
> > > On Mon, 12 Jul 2010 13:30:04 +0400
> > > Mikhail A Antonov <bart@solarnet.ru> wrote:
> > >
> > > > Denis Feklushkin пишет:
> > > > > On Mon, 12 Jul 2010 12:52:03 +0400
> > > > > Mikhail A Antonov <bart@solarnet.ru> wrote:
> > > > >
> > > > >>>>> публичный хостинг с виртуальными веб-серверами
> > > > >>>> Так я думаю, что мы этoго обсуждали год назад :)
> > > > >>> да, кстати ) но с тех пор кое-что изменилось: апач не хочется ни в каком виде
> > > > >> А что из не апачей умеет .htaccess?
> > > > >
> > > > > а пофиг, его из условия уберём
> > > >
> > > > А вот не пофиг. Рано или поздно на публичном хостинге публичные пользователи захотят
> > > > директорию запаролить, ЧПУ организовать, ещё что-нибудь. Тут-то и вспомнится про реврайты.
> > >
> > > а это через админку
> > >
> > > > >
> > > > >> И чтобы без перезапуска и перечитывания
> > > > >> конфигов по крону.
> > > > >
> > > > > по крону? не понял
> > > >
> > > > Угу. Если, например, к lighttpd или nginx прикручивать всякие реврайты инклудами,
> > > > то без перечитывания конфигов вместе с этими инклудами, правила применяться не будут.
> > >
> > > через админку, после правки она скажет релоад nginx
> > >
> > > > >
> > > > >>>> Запускайте один Apache и
> > > > >>>> научите его запускать скрипты каждого юзера с собственным uid и gid.
> > > > >>>> (да, нужно немножко поковылятся из сырцов mod_suexec и mod_fcgid, чтобы этoгo
> > > > > ^^^^^^^^^^
> > > > >>>> добытся, но не очень сложно; может быть, на этoт раз я и вправду опубликую
> > > > >>>> патчов, которых для этoгo сделал)
> > > > >>> Вроде это уже без патчей можно
> > > > >> Можно. suexec уже есть.
> > > > >>
> > > > >
> > > > > ?
> > > > >
> > > > Нечего там ковырять. У меня оно работает "из коробки" в lenny.
> > > >
> > >
> > > Мне не понравилось что оно требует ручками прописывать SuexecUserGroup user group в конфиге. Конечно, всё это не проблема но раз уж информация есть в атрибутах файла то лучше бы оно её использовало
> > >
> > > в идеале бы найти простой CGI-враппер который проксирует запуск софтины но предварительно делает suexec в юзера, которому принадлежит запускаемый скрипт. и всё это подвесить к fcgiwrap
> >
> > а вот suexec это случайно не тот "враппер" что мне нужен?
> >
> > http://httpd.apache.org/docs/2.2/suexec.html#install
> >
> > Вроде как раз оно. Попробую, посмотрю на сколько это будет отличаться по скорости от запуска через апач
>
> Ему нужно подавать username и groupname как параметров командной строки;
> оно потом только проверку делает, совпадают ли они с юзером/групой файла.
там же есть режим userdir когда он ничего не проверяет? или я не так понял?
If you have virtual hosts with a different UserDir for each, you will need to define them to all reside in one parent directory; then name that parent directory here.
> > > потому что апач при такой же требуемой от него функциональности сожрет мегабайтов 200 и будет тормозить ещё при этом
>
> Всего лучшего,
> Петр
>
Reply to: