https://opennet.me/openforum/vsluhforumID8/5658.html Хочу настроить хостинг-сервер WWW+PHP+MySQL+Mail+FTP. Настройку NS сервера я в данном контексте не рассматриваю.<br><br>По отдельности я с каждым сервисом разобрался, понял что нужно юзать виртуальных юзеров для каждого сервиса помещённых в MySQL базу, с мейлами практически полностью разобрался.<br>выбрал следующий софт для использования (с комментариями почему):<br><br>OS: Linux Gentoo 2007 - Секурный, надёжный, быстрый, обновляется быстро, много доков<br>WEB: Apache 2.2.x - Других вариантов просто не рассматривал :)<br>PHP: PHP 5.2.x - Тоже самое<br>MySQL: 5.0.x - Тоже самое<br>Mail: Qmail 1.0.x - Один из самых секурных мейл серверов с множеством возможностей<br>FTP: vsftp 2.0.x - Выбрал за секурность, хоть и в ущерб функциональности (например по отношению к proftpd которым раньше пользовался)<br>(Дискусия о выбраном софте так же приветствуется :) )<br><br>Но есть ряд вещей которые я просто не знаю как сделать, а именно:<br>1. Можно ли конфигурацию vhost для апача перенести в базу? Где копать?<br>2. ФТП и Апач работают под разными юзера https://opennet.me/openforum/vsluhforumID8/5658.html#15 Sat, 25 Feb 2012 10:30:30 GMT &gt; Это ваш способ самовыражения? Ничего оригинального между прочим, очень распространенное <br>&gt; психическое отклонение, особенно в сети. https://opennet.me/openforum/vsluhforumID8/5658.html#14 Thu, 22 May 2008 21:37:40 GMT Это ваш способ самовыражения? Ничего оригинального между прочим, очень распространенное психическое отклонение, особенно в сети. <br> https://opennet.me/openforum/vsluhforumID8/5658.html#13 Thu, 22 May 2008 21:19:57 GMT &gt;OS: Linux Gentoo 2007 - Секурный, надёжный, быстрый, обновляется быстро, много доков <br><br>аху.. с ума сойти какой секурный, с дурацкими ибилдами, с кучей багов, админы выбравшие гентю основной осью мнят себя с ума сойти какими секурными, а когда у них из памяти выпадает кора, они придумали термины "падать, упал, сервер упал", не зная как объяснить происшедшею кору, вот и говорят "сервак упал", всем сосать, мы крутые идём восстанавливать из бэкапа, потом они уже ит-директора гентю-слюникс, пауред бай гентю слюникс всем сосать<br><br><br> https://opennet.me/openforum/vsluhforumID8/5658.html#12 Fri, 11 Apr 2008 08:43:09 GMT &gt;<br>&gt;&gt;1. Apache 1.3.x. Т.к. он поддерживает директивы User и Group в VirtualHost'ах(т.е. <br>&gt;&gt;Вы сможете запускать каждый отдельный vhost под своим юзером) <br>&gt;<br>&gt;вы ничего не перепутали ? suexec только под виртуальными будет, а <br>&gt;все процессы апача под пользователем апача <br><br>Именно, такая логика распространяется на 2.0-2.2, в котором директивы User и Group заменили на SuexecUserGroup, который распространяется только на отдельнозапущенные приложения(но не на сам процесс виртуального хоста). В то время как 1.3, на сколько я помню(у меня 2.2.3 стоит уже очень давно, могу ошибиться насчет 1.3) форкал процессы для виртулхостов под конкретным пользователем заданным в виртуалхосте, таким образом даже при включенном SSI <br><br>&lt;--# exec cmd="whoami" --&gt; <br><br>выдавал пользователя указанного в директиве User этого виртуального хоста, в отличие от 2.x выдающего результатов "apache".<br> https://opennet.me/openforum/vsluhforumID8/5658.html#11 Fri, 11 Apr 2008 08:42:26 GMT &gt;&gt;Ставьте на юзерский фолдер 701, если все юзеры хостинга suexec'аются в одну <br>&gt;&gt;группу, то этой группе будет запрещен вход, в то время как <br>&gt;&gt;others'ы, в лице апача, смогут войти. <br>&gt;<br>&gt;А разве others не распространяется абсолютно на всех юзеров? <br><br>Нет, логика такова:<br><br>Являюсь ли я владельцем файла?<br>- Да : читаю права для владельца, забиваю на остальные права<br>- Нет: являюсь ли я членом группы владельцев файла?<br>-- Да : читаю права для группы, забиваю на остальные права<br>-- Нет : Значит я - others, читаю права для others<br><br>Таким образом получается, что apache читает права для others, и имеет доступ в директорию пользователя, владелец читает свои права(для владельца), а остальные пользователи читают права для группы(забивая на others), т.к. директория принадлежит этой группе.<br> https://opennet.me/openforum/vsluhforumID8/5658.html#10 Thu, 10 Apr 2008 18:06:50 GMT &gt;Ставьте на юзерский фолдер 701, если все юзеры хостинга suexec'аются в одну <br>&gt;группу, то этой группе будет запрещен вход, в то время как <br>&gt;others'ы, в лице апача, смогут войти. <br><br>А разве others не распространяется абсолютно на всех юзеров? <br> https://opennet.me/openforum/vsluhforumID8/5658.html#9 Thu, 10 Apr 2008 12:48:36 GMT <br>&gt;1. Apache 1.3.x. Т.к. он поддерживает директивы User и Group в VirtualHost'ах(т.е. <br>&gt;Вы сможете запускать каждый отдельный vhost под своим юзером) <br><br>вы ничего не перепутали ? suexec только под виртуальными будет, а все процессы апача под пользователем апача<br> https://opennet.me/openforum/vsluhforumID8/5658.html#8 Sat, 05 Apr 2008 23:09:24 GMT &gt;&gt;1. Apache 1.3.x. Т.к. он поддерживает директивы User и Group в VirtualHost'ах(т.е. <br>&gt;&gt;Вы сможете запускать каждый отдельный vhost под своим юзером) <br>&gt;<br>&gt;Спасибо, похоже это как раз того, чего мне не хватало. Посмотрю есть <br>&gt;ли это для апача 2.2 <br><br>Есть. Как минимум два варианта и оба в режиме тестирования...<br><br>1. MPM peruser, написанный кем-то из компании telana (telana.com).<br>2. http://httpd.apache.org/docs/2.0/mod/perchild.html<br><br>С MPM peruser сталкивался довольно плотно. Мало того, что он не работает с SSL'ем(пробовал на 2.2.3 около 3-4 месяцев назад), но это фигня(настроил Nginx как SSL proxy), самое обидное - Apache с MPM peruser падает ри высоких нагрузках... :(<br><br>Кстати, раз уж зашла речь, забавно, но возможность использования директив "User" и "Group", убранную в Апаче 2.0 - 2.2 собираются вернуть в 2.3 %^)<br> https://opennet.me/openforum/vsluhforumID8/5658.html#7 Sat, 05 Apr 2008 22:46:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt;получите приблизительный аналог mod_php <br>&gt;&gt;<br>&gt;&gt;Главное не забудьте о том, что такие вещи как SSI в Apache желательно отключать, раз VirtualHost'ы работают под юзером Apache. От &lt;--exec="" --&gt; никто не застрахован...<br>&gt;<br>&gt;А вот насчёт этого я пытался поузнавать и столкнулся с такой проблемой: <br>&gt;<br>&gt;Допустим я настроил php через CGI или FCGI и запускаю скрипты через <br>&gt;suEXEC с привилегияими юзера. <br>&gt;Но как апач сможет запускать обыкновенные HTML файлы при таком раскладе если <br>&gt;права на юзеровский фолдер стоят 700? <br><br>Ставьте на юзерский фолдер 701, если все юзеры хостинга suexec'аются в одну группу, то этой группе будет запрещен вход, в то время как others'ы, в лице апача, смогут войти. <br>