PHP на web-хостинг / apache+suexec+fastcgi+php
Господа, настраиваю тут окружение для многопользовательского
web-хостинга и возник вот какой вопрос.
Стандартом де-факто для веб-хостинга сейчас явлется поддержка cgi через
suexec и php через mod_php.
Так как mod_php выполняется из-под www-data, то в нем реализованы
механизмы для ограничения/разграничения пользователей: safe_mode и
open_basedir
При этом:
Запуск php как cgi+suexec с точки зрения безопасности выглядит гораздо
правильнее. (есть еще mod_suphp, который ровно это и делает)
Запуск php как fast-cgi гораздо эффективнее по производительности чем
cgi или mod_php.
Казалось бы apache+suexec+fastcgi+php это нормальная связка. Но вот
заморочка: всё в этой связке работает, кроме одного: suexec, который
идёт в апаче проверяет, что скрипт (а в данном случае
враппер /usr/bin/php5-cgi) должен лежать в docroot и принадлежать
target_user.
Народ в интернетах обходит это созданием для каждого пользователя
враппера примерно следующего содержания:
#!/bin/sh
exec /usr/bin/php5-cgi
Что как-то неаккуратно.
Те, кого эта неаккуратность нервирует, пересобирают suexec с попиленной
проверкой, чтобы он это разрешал.
Вот и я склоняюсь к тому, чтобы настроить вышеуказанную связку с
использованием патченного suexec.
Вопрос: Это всё действительно правда, что единственный способ
нормально настроить пых-пых хостинг - это использовать патченный
suexec? Или я чего-то во всём этом не понимаю, и есть более другие
правильные решения?
--
Best regards,
Alexander GQ Gerasiov
Contacts:
e-mail: gq@cs.msu.su Jabber: gq@jabber.ru
Homepage: http://gq.net.ru ICQ: 7272757
PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Reply to: