Re: PHP на web-хостинг / apache+suexec+fastcgi+php

To: debian-russian@lists.debian.org
Subject: Re: PHP на web-хостинг / apache+suexec+fastcgi+php
From: Peter Pentchev <roam@ringlet.net>
Date: Wed, 2 Feb 2011 15:22:30 +0200
Message-id: <[🔎] 20110202132230.GA10834@straylight.ringlet.net>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 20110202152310.117ebb4a@desktopvm.lvknet>
References: <[🔎] 20110202152310.117ebb4a@desktopvm.lvknet>

On Wed, Feb 02, 2011 at 03:23:10PM +0300, Alexander GQ Gerasiov wrote:
> Господа, настраиваю тут окружение для многопользовательского
> web-хостинга и возник вот какой вопрос.
> 
> Стандартом де-факто для веб-хостинга сейчас явлется поддержка cgi через
> suexec и php через mod_php.
> Так как mod_php выполняется из-под www-data, то в нем реализованы
> механизмы для ограничения/разграничения пользователей: safe_mode и
> open_basedir
> 
> При этом:
> Запуск php как cgi+suexec с точки зрения безопасности выглядит гораздо
> правильнее. (есть еще mod_suphp, который ровно это и делает)

mod_suphp имеет несколько режимов работы, к сожалению конфигурация
которых делается at compile time (опция ./configure --with-setid-mode).
Режим "owner" - ровно то, что Вам нужно.

Но... надо пересобрать пакет libapache2-mod-suphp, чтобы в debian/rules
была указана опция ./configure --with-setid-mode=owner.

> Запуск php как fast-cgi гораздо эффективнее по производительности чем
> cgi или mod_php.
> 
> Казалось бы apache+suexec+fastcgi+php это нормальная связка. Но вот
> заморочка: всё в этой связке работает, кроме одного: suexec, который
> идёт в апаче проверяет, что скрипт (а в данном случае
> враппер /usr/bin/php5-cgi) должен лежать в docroot и принадлежать
> target_user.
> Народ в интернетах обходит это созданием для каждого пользователя
> враппера примерно следующего содержания:
> #!/bin/sh
> exec /usr/bin/php5-cgi
> 
> Что как-то неаккуратно.
> Те, кого эта неаккуратность нервирует, пересобирают suexec с попиленной
> проверкой, чтобы он это разрешал.
> 
> Вот и я склоняюсь к тому, чтобы настроить вышеуказанную связку с
> использованием патченного suexec.
> 
> Вопрос: Это всё действительно правда, что единственный способ
> нормально настроить пых-пых хостинг - это использовать патченный
> suexec? Или я чего-то во всём этом не понимаю, и есть более другие
> правильные решения?

Всего лучшего,
Петр

-- 
Peter Pentchev	roam@ringlet.net roam@FreeBSD.org peter@packetscale.com
PGP key:	http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint	FDBA FD79 C26F 3C51 C95E  DF9E ED18 B68D 1619 4553
This inert sentence is my body, but my soul is alive, dancing in the sparks of your brain.

Attachment: signature.asc
Description: Digital signature

Reply to:

Follow-Ups:
- Re: PHP на web-хостинг / apache+suexec+fastcgi+php
  - From: Alexander GQ Gerasiov <gq@cs.msu.su>

References:
- PHP на web-хостинг / apache+suexec+fastcgi+php
  - From: Alexander GQ Gerasiov <gq@debian.org>

Prev by Date: Re: ProxMox на Debian Squeeze AMD64
Next by Date: Re: ProxMox на Debian Squeeze AMD64
Previous by thread: Re: PHP на web-хостинг / apache+suexec+fastcgi+php
Next by thread: Re: PHP на web-хостинг / apache+suexec+fastcgi+php
Index(es):
- Date
- Thread