Re: PHP на web-хостинг / apache+suexec+fastcgi+php

To: Alexander GQ Gerasiov <gq@debian.org>
Cc: debian-russian@lists.debian.org
Subject: Re: PHP на web-хостинг / apache+suexec+fastcgi+php
From: Nikita A Menkovich <menkovich@gmail.com>
Date: Wed, 2 Feb 2011 15:54:29 +0300
Message-id: <[🔎] AANLkTi=5+-9E116CkDpgKvhKvkXx3NRB+yx81s41th8Z@mail.gmail.com>
In-reply-to: <[🔎] 20110202152310.117ebb4a@desktopvm.lvknet>
References: <[🔎] 20110202152310.117ebb4a@desktopvm.lvknet>

Используй mpm-itk, не suexec

2011/2/2 Alexander GQ Gerasiov <gq@debian.org>:
> Господа, настраиваю тут окружение для многопользовательского
> web-хостинга и возник вот какой вопрос.
>
> Стандартом де-факто для веб-хостинга сейчас явлется поддержка cgi через
> suexec и php через mod_php.
> Так как mod_php выполняется из-под www-data, то в нем реализованы
> механизмы для ограничения/разграничения пользователей: safe_mode и
> open_basedir
>
> При этом:
> Запуск php как cgi+suexec с точки зрения безопасности выглядит гораздо
> правильнее. (есть еще mod_suphp, который ровно это и делает)
> Запуск php как fast-cgi гораздо эффективнее по производительности чем
> cgi или mod_php.
>
> Казалось бы apache+suexec+fastcgi+php это нормальная связка. Но вот
> заморочка: всё в этой связке работает, кроме одного: suexec, который
> идёт в апаче проверяет, что скрипт (а в данном случае
> враппер /usr/bin/php5-cgi) должен лежать в docroot и принадлежать
> target_user.
> Народ в интернетах обходит это созданием для каждого пользователя
> враппера примерно следующего содержания:
> #!/bin/sh
> exec /usr/bin/php5-cgi
>
> Что как-то неаккуратно.
> Те, кого эта неаккуратность нервирует, пересобирают suexec с попиленной
> проверкой, чтобы он это разрешал.
>
> Вот и я склоняюсь к тому, чтобы настроить вышеуказанную связку с
> использованием патченного suexec.
>
> Вопрос: Это всё действительно правда, что единственный способ
> нормально настроить пых-пых хостинг - это использовать патченный
> suexec? Или я чего-то во всём этом не понимаю, и есть более другие
> правильные решения?
>
> --
> Best regards,
>  Alexander GQ Gerasiov
>
>  Contacts:
>  e-mail:    gq@cs.msu.su             Jabber:  gq@jabber.ru
>  Homepage:  http://gq.net.ru         ICQ:     7272757
>  PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1
>
>
> --
> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] 20110202152310.117ebb4a@desktopvm.lvknet">http://lists.debian.org/[🔎] 20110202152310.117ebb4a@desktopvm.lvknet
>
>



-- 
Nikita A Menkovich
JID: menkovich@gmail.com
Tel: +7 (921) 423-96-48

Reply to:

Follow-Ups:
- Re: PHP на web-хостинг / apache+suexec+fastcgi+php
  - From: Alexander GQ Gerasiov <gq@cs.msu.su>

References:
- PHP на web-хостинг / apache+suexec+fastcgi+php
  - From: Alexander GQ Gerasiov <gq@debian.org>

Prev by Date: PHP на web-хостинг / apache+suexec+fastcgi+php
Next by Date: ProxMox на Debian Squeeze AMD64
Previous by thread: PHP на web-хостинг / apache+suexec+fastcgi+php
Next by thread: Re: PHP на web-хостинг / apache+suexec+fastcgi+php
Index(es):
- Date
- Thread