URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 5404
[ Назад ]
Исходное сообщение
"Apache-актуальный вариант конфигурации для безопас-го вирт-го хостинга"
Отправлено Rayon , 06-Дек-07 10:34 
Здравствуйте.
Значит ситуация у меня такая..
Решил я организовать виртуальный хостинг: арендовал сервер(CentOS 5.1) и купил панель ISPmanager.
При создании аккаунтов в ISPmanager есть 2 варианта работы Apache:
1)php как модуль Apache
2)php как CGI
Проблема: При варианте 1 php скрипты имеют права Apache и через шелл свободно можно просматривать директории всего сервера. При варианте 2 некорректно работают php скрипты выдавая ошибки.
Мне требуется: корректная и безопасная и максимально быстрая работа php, CGI и SSI скриптов под различными UNIX пользователями с ограниченными правами доступа только к своим директориям для каждого аккаунта виртуального хостинга, естественно при safe_mod OFF, KeepAlive ON, MaxRequestsPerChild != 1.
Проштурмовав Google и данный форум я нашел несколько интересных статей разных годов:
1 http://dklab.ru/lib/dklab_apache/
2 http://www.opennet.me/base/net/fastcgi_php.txt.html
3 кучу модулей http://www.opennet.me/prog/sml/76.shtml среди которых актуальные для данной темы: suEXEC, perchild, peruser, mod_diffpriv, mod_suid и т.д...
4 http://www.opennet.me/opennews/art.shtml?num=10329
Но так и не решил, что делать..

Подскажите, пожалуйста, народ: Какой вариант настройки Apache(учитывая вышесказанное) действительно актуален на данный момент?
Заранее спасибо за все ваши имхо.

Содержание
Сообщения в этом обсуждении
"Apache-актуальный вариант конфигурации для безопас-го вирт-г..."
Отправлено Rza , 06-Дек-07 11:06 
>[оверквотинг удален]
>1 http://dklab.ru/lib/dklab_apache/
>2 http://www.opennet.me/base/net/fastcgi_php.txt.html
>3 кучу модулей http://www.opennet.me/prog/sml/76.shtml среди которых актуальные для данной темы: suEXEC, perchild,
>peruser, mod_diffpriv, mod_suid и т.д...
>4 http://www.opennet.me/opennews/art.shtml?num=10329
>Но так и не решил, что делать..
>
>Подскажите, пожалуйста, народ: Какой вариант настройки Apache(учитывая вышесказанное) действительно актуален на данный
>момент?
>Заранее спасибо за все ваши имхо.

я пользуюсь suEXEC , каждый процесс апача порождается под своим юзером , и php как модуль

"Apache-актуальный вариант конфигурации для безопас-го вирт-г..."
Отправлено Rayon , 06-Дек-07 11:41 
>я пользуюсь suEXEC , каждый процесс апача порождается под своим юзером ,
>и php как модуль

С seEXEC понятно, а php как модуль - это небезопасно т.к. любой школьник заливший шелл получит такие права, что сможет натворить делов.

"Apache-актуальный вариант конфигурации для безопас-го вирт-г..."
Отправлено angra , 06-Дек-07 11:14 
Вы не поверите, но при запуске через CGI скрипты тоже будут иметь пользователя apache и доступ ко всему к чему имеет доступ апач. В mod_php по крайней мере есть base_dir, хотя ее ограничение постоянно ломают, что делать пых одна большая дырка по своей сущности.
suexec+fcgi могут помочь, вот только нужна модификация скриптов.
"Apache-актуальный вариант конфигурации для безопас-го вирт-г..."
Отправлено Rayon , 06-Дек-07 11:47 
>В mod_php по крайней мере есть base_dir, хотя ее ограничение постоянно ломают

Согласен.
>suexec+fcgi могут помочь, вот только нужна модификация скриптов.

Какая именно модификация и чем пользуешься сам?

"Apache-актуальный вариант конфигурации для безопас-го вирт-г..."
Отправлено Rayon , 06-Дек-07 11:49 
И кто что думает насчет dklab Apache?