apache user group

Написал(а) Bercut Дата 10.10.07 10:16

вопрос следующий

как сделать изоляцию виртуал ностов в апаче
чтобы любое исполнение выполнялось от имени пользователя асоциированого с данным виртуал хостом
директивы узер груп внутри виртуал хост не подходять тк
When used inside a <VirtualHost> in this manner, only the user that CGIs are run as is affected. Non-CGI requests are still processed with the user specified in the main User directive.
а очень хочется чтобы не только цги а и любые интерпретаторы работали соответственнно, чтобы что дадено то и делай и не ходи дале

русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...

Написал(а) LOE (Site/forum admin) Дата 11.10.07 18:49

Ну для php есть опция, запрещающая подниматься выше указанного каталога. Но это может быть преодолено с помощью багов в самом php.

Выход - запускать php через его интерпретатор.
Обычное использование php - как модуля к апачу, что обеспечивает наибольшую скорость и доступ к внутренностям апача.
Можно настроить, чтоб запрос *.php вызывал запуск именно php интерпретатора, что и обеспечит его запуск от указанного пользователя/группы.
Это будет медленнее, но на порядок безопаснее.

В общем, гуглить на предмет php-cgi (как настроить апач, чтоб вызывался php-cgi при попытке запроса *.php)

Другой выход - городить или chroot, или виртуалку для каждого экземпляра веб-сайта. Каждый из этих методов имеет свои преимущества/недостатки. И, конечно, сложнее, нежели php-cgi.

"No! Try not! Do. Or do not. There is no try." -- Yoda

Написал(а) Bercut Дата 12.10.07 06:27

к сожалению
это все мало подходит
чрут не изолирует виртуал хосты друг от друга
пхп сейв мод кучю траблов за собой тянет

я то думал может во 2 апаче suExec обертка запкскает дочку апача с указаним уидом/гидом
и все типа чуд и хорошо ан нет все плохо

русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...

Написал(а) LOE (Site/forum admin) Дата 12.10.07 07:00 Отредактировано 12.10.07 07:04

Запускать каждый виртуал-сервер в своем chroot окружении. Тогда будет изолированность. Но накладно по файловым ресурсам (каждому придется свое дерево библиотек подставлять). Хотя если использовать hard-линки, то место на диске не будет тратиться. Однако, каждый такой апач надо настраивать особо - виртуал-хосты по имени уже не получится настроить.
Как выход - делать фронтенд проксирующий апач (или squid), виртуальные апачи разносить по локальным IP'шкам, а на проксирующем прокидывать по нужному адресу.

suExec для модулей не работает, они исполняются в контексте апача.
Я ж говорю, самый оптимальный путь - настроить запуск php-cgi. И секурно, и настраивать особо не надо. Потеря скорости исполнения php-страниц минимальна (на сегодняшней технике)

И почему ленишься погуглить? Особо для 2-ого апача я этот вопрос не прорабатывал, могло многое измениться.
Что найдешь - озвуч и нам.

"No! Try not! Do. Or do not. There is no try." -- Yoda

Написал(а) Bercut Дата 12.10.07 10:56 Отредактировано 12.10.07 10:59

да вот собственно все и озвучено
если уже цитировал мануал по второму
если пишут что так оно значит так и есть

попробую через цги позапускать

а вывернутый прокси можно на nginx замутить

русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...

Написал(а) cutter Дата 13.10.07 09:48

Совсем недавно интересовался подобной проблемой. И, думаю, решать задачу буду
с помощью mod_chroot и suEXEC. Вот здесь перец пишет в интересующем нас направлении:

http://www.opennet.ru/base/dev/apache_php_as_cgi.txt.html

Написал(а) Bercut Дата 15.10.07 08:22

на опеннете статьи прочитывал
вобщемто ничего нового

русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...