Обсуждение статьи тематического каталога: Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit)

Ссылка на текст статьи: http://www.opennet.me/base/dev/apache_php_as_cgi.txt.html

• Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit),Малик, 15:09 , 23-Янв-05
• Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit),tankistua, 00:49 , 13-Мрт-05
• Фикс,Дмитрий, 16:45 , 24-Янв-06
• Установка PHP как CGI работающий под suEXEC (apache suexec p...,resu, 18:32 , 14-Мрт-06
  • Установка PHP как CGI работающий под suEXEC (apache suexec p...,stellar, 11:45 , 15-Сен-06
    • Установка PHP как CGI работающий под suEXEC (apache suexec p...,resu, 16:26 , 15-Сен-06
  • Установка PHP как CGI работающий под suEXEC (apache suexec p...,Михаил, 13:06 , 10-Май-08
• Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit),dodger, 12:08 , 04-Июл-06
  • Установка PHP как CGI работающий под suEXEC (apache suexec p...,Zed, 12:13 , 11-Сен-06
• Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit),justhost, 20:44 , 01-Мрт-07
• Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit),justhost, 20:45 , 01-Мрт-07
• Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit),Android, 13:59 , 17-Май-07
• Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit),x_o_x, 08:17 , 31-Май-07
• Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit),VArtem, 20:27 , 02-Янв-11
• Права и пользователи,w3site.org, 16:02 , 24-Ноя-11

Лучше почитать статью на оригинальном ресурсе, т.к. я дописал несколько достаточно важных дополнений.

вооьще-то существует модуль для апача. suphp называется

Если апач включен в обе группы, значит один у другого пользователя сможет прочитать файлы. Я правильно понимаю?
Это не есть гуд. Совсем не гуд.

по моему надо ставить в chroot все.
т.е. сам  апач плюс ОБЯЗАТЕЛьНО КАЖДЫЙ виртуальный хост. т.е. внутри апачя надо делать chroot для всех и каждого + su_uid + su_gid.

to  tankistua:
suPHP - может делать (если я парвильно понял конфиг) только один chroot для всего модуля (по крайней мере я не нашел возможности указать / передать chroot - dir через httpd.conf для каждого виртуального хоста). (поправьте если ошибаюсь)

> моему надо ставить в chroot все.

Бред какой. Оставьте свое мнение при себе - умнее будете выглядеть.

Статья идиотская, не читайте ее.

> Бред какой. Оставьте свое ...

не аргументиревано

угу, плюс если делать chroot то скрипт лежаший (к примеру) в /home/user/site , при chroot'е (/home/user) должен еще лежать и в /home/user/home/usr/site, т.е. приходиться делать символическую ссылку.

в SUPHP есть единственная возможность установить различия между сайтами в создании конфига PHP для каждого сайта в отдельности. suPHP_config (точно непомню) в Virtual Host'е кокраз это  и делает.

Ложить бинарник php в cgi-bin - безумие.

http://php.benscom.com/manual/ru/security.cgi-bin.php

Ну там же и читаем:
В PHP, указывая во время компиляции опцию --enable-force-cgi-redirect, а таке опции doc_root и user_dir во время выполнения скрипта, можно предотвратить подобные атаки для директорий с ограниченным доступом.

Опция --enable-force-cgi-redirect в статье указана.

Да в статье полный гимор)
Все делается намного проще и нет необходимости копировать php в каждую cgi-bin директорию для каждого юзверя.

Нужно сделать лишь следующее:
1-перекинуть php исполняемый файл или создать линк на него в директорию /var/www/cgi-bin

2-в httpd.conf добавть 3 строчки
AddType application/x-httpd-php php
ScriptAliase /php/ /var/www/cgi-bin/
Action application/x-httpd-php /php/php

или /usr/local/apache/cgi-bin
у кого как...

А кто-нибуть юзал Apache dkLab?

Кстати. Что скажите по поводу безопасности сего пача для suexec?

if (strstr(cmd, ".php")) {
        execl("/usr/local/bin/php","php",cmd,NULL);
    } else {
    execv(cmd, &argv[3]);
    }
, где /usr/local/bin/php - php-cgi

Статья хорошая. Смог для себя подчеркнуть некоторые вещи. Спасибо

"Пользователей для веба заводить только в соответствующую группу,
например webusers."

Лутше сделать группу и пользователя идентичными
а группу сделать для апачиотдельно, по группе сможет читать апачи а по имени пользователя - пользователь и в соответствии выставляь chmod и chown