[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

PHP на web-хостинг / apache+suexec+fastcgi+php



Господа, настраиваю тут окружение для многопользовательского
web-хостинга и возник вот какой вопрос.

Стандартом де-факто для веб-хостинга сейчас явлется поддержка cgi через
suexec и php через mod_php.
Так как mod_php выполняется из-под www-data, то в нем реализованы
механизмы для ограничения/разграничения пользователей: safe_mode и
open_basedir

При этом:
Запуск php как cgi+suexec с точки зрения безопасности выглядит гораздо
правильнее. (есть еще mod_suphp, который ровно это и делает)
Запуск php как fast-cgi гораздо эффективнее по производительности чем
cgi или mod_php.

Казалось бы apache+suexec+fastcgi+php это нормальная связка. Но вот
заморочка: всё в этой связке работает, кроме одного: suexec, который
идёт в апаче проверяет, что скрипт (а в данном случае
враппер /usr/bin/php5-cgi) должен лежать в docroot и принадлежать
target_user.
Народ в интернетах обходит это созданием для каждого пользователя
враппера примерно следующего содержания:
#!/bin/sh
exec /usr/bin/php5-cgi

Что как-то неаккуратно.
Те, кого эта неаккуратность нервирует, пересобирают suexec с попиленной
проверкой, чтобы он это разрешал.

Вот и я склоняюсь к тому, чтобы настроить вышеуказанную связку с
использованием патченного suexec.

Вопрос: Это всё действительно правда, что единственный способ
нормально настроить пых-пых хостинг - это использовать патченный
suexec? Или я чего-то во всём этом не понимаю, и есть более другие
правильные решения?

-- 
Best regards,
 Alexander GQ Gerasiov

 Contacts:
 e-mail:    gq@cs.msu.su             Jabber:  gq@jabber.ru
 Homepage:  http://gq.net.ru         ICQ:     7272757
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1


Reply to: