https://www.opennet.dev/openforum/vsluhforumID8/6143.html Приветствую многоуважаемые участники форума. <br>Возникла необходимость ограничить ресурсы системы выделяемые для apache22. Было принято решение настроить запуск каждого отдельного виртуального хоста под разными пользователями и уже у этих пользователей вводить квоты на системные ресурсы. Погуглив и поискав на opennet.ru нашел пару статей по этому поводу, но в них приводился в основном apache13 с самописным модулем. Поскольку с apache22 уходить никак не получается (заморочки фирмы) решил пойти по более сложному пути и почитать системные man по httpd.conf :-). В них говорилось про то, что надо пересобрать apache и добавлением в makefile в секцию CFLAGS флаг -DBIG_SECURITY_HOLE, потом запустить apache из-под рута и типа в vhosts можно будет прописывать директивы user и group. Сделал все по этому руководству, но желаемого эффекта это не принесло((( apache конечно из-под рута стартует, но прописать пользователя и группу в каждом виртуальном хосте не позволяет. <br>Вопрос заключается в следующем, как можно заставить р https://www.opennet.dev/openforum/vsluhforumID8/6143.html#8 Tue, 13 Jan 2009 08:25:08 GMT Установите suhosin patch для php, чтобы изменять disabled_functions не глобально, а индивидуально для каждого хоста.<br> https://www.opennet.dev/openforum/vsluhforumID8/6143.html#7 Mon, 12 Jan 2009 14:43:15 GMT Проблема решена))<br>Все оказалось проще, чем я думал))) Огромное спасибо Aleksey.<br>собрать apache22 с mpm itk можно просто изменив в директории порта (/usr/ports/www/apache22) файл Makefile. Необходимо прописать В WITH_MPM вместо prefwork это самое itk))) В этом файле даже комментарий по этому поводу имеется))) После пересборки появляется возможность в VirtualHost прописывать AssignUserID и MaxClientsVHost. <br>В очередной раз убеждаюсь, что покурить man поподробнее крайне полезно))) <br>Да, и еще. В принципе можно запуска выполнение cgi сценариев под разными пользователями и при помощи модуля suexec. После подключения данного модуля появляется директива SuexecUserGroup. В ней также прописываются пользователь и группа, но запускаться этими пользователями будут только сценарии cgi. В некоторых случаях это удобно.<br>Для дальнейшего ограничения ресурсов каждого виртуального хоста будет создан класс пользователей с системными ограничениями ресурсов.<br>Всем еще раз большое спасибо.<br> https://www.opennet.dev/openforum/vsluhforumID8/6143.html#6 Tue, 06 Jan 2009 10:12:30 GMT Используйте Apache 2 ITK MPM http://mpm-itk.sesse.net/.<br> https://www.opennet.dev/openforum/vsluhforumID8/6143.html#5 Tue, 06 Jan 2009 09:35:05 GMT Нашел в портах вот это /usr/ports/www/apache22-peruser-mpm. <br>В pkg-descr написано следующее<br><br>Peruser is an Apache 2 modules based on metuxmpm. The fundamental<br>concept behind them is to run each apache child process as its own<br>user and group, each handling its own set of virtual hosts. Peruser<br>and recent metuxmpm releases can also chroot() apache processes.<br>The result is a sane and secure web server environment for your<br>users, without kludges like PHP's safe_mode.<br><br>Помоему это как раз оно))) Ни кто не сталкивался?<br><br> https://www.opennet.dev/openforum/vsluhforumID8/6143.html#4 Wed, 31 Dec 2008 05:09:08 GMT &gt;[оверквотинг удален]<br>&gt;что надо пересобрать apache и добавлением в makefile в секцию CFLAGS <br>&gt;флаг -DBIG_SECURITY_HOLE, потом запустить apache из-под рута и типа в vhosts <br>&gt;можно будет прописывать директивы user и group. Сделал все по этому <br>&gt;руководству, но желаемого эффекта это не принесло((( apache конечно из-под рута <br>&gt;стартует, но прописать пользователя и группу в каждом виртуальном хосте не <br>&gt;позволяет. <br>&gt;Вопрос заключается в следующем, как можно заставить работает апач из-под разных пользователей <br>&gt;для виртуальных хостов? НУ или каким способом можно ограничить потребляемые ресурсы <br>&gt;для каждого отдельного виртуального хоста, может у кого еть опыт)) <br>&gt;Заранее благодарен. <br><br>Ограничения сетевых подключений -- mod_cband<br><br><br> https://www.opennet.dev/openforum/vsluhforumID8/6143.html#3 Tue, 30 Dec 2008 23:38:58 GMT Если вопрос только в дисковых квотах, то достаточно правильного выставления группы с sgid битом на директории пользователей. Квоты будут считаться по uid пользователя,а апач будет иметь доступ по группе. Если же нужны квоты на память и процессор, то только легкая виртуализация, например OpenVZ. <br><br><br> https://www.opennet.dev/openforum/vsluhforumID8/6143.html#2 Tue, 30 Dec 2008 12:09:51 GMT Да, забыл сказать, решения с jail не подходят, на сервере 1 ip и больше выделить не получиться.(((<br> https://www.opennet.dev/openforum/vsluhforumID8/6143.html#1 Tue, 30 Dec 2008 11:53:27 GMT &gt;[оверквотинг удален]<br>&gt;что надо пересобрать apache и добавлением в makefile в секцию CFLAGS <br>&gt;флаг -DBIG_SECURITY_HOLE, потом запустить apache из-под рута и типа в vhosts <br>&gt;можно будет прописывать директивы user и group. Сделал все по этому <br>&gt;руководству, но желаемого эффекта это не принесло((( apache конечно из-под рута <br>&gt;стартует, но прописать пользователя и группу в каждом виртуальном хосте не <br>&gt;позволяет. <br>&gt;Вопрос заключается в следующем, как можно заставить работает апач из-под разных пользователей <br>&gt;для виртуальных хостов? НУ или каким способом можно ограничить потребляемые ресурсы <br>&gt;для каждого отдельного виртуального хоста, может у кого еть опыт)) <br>&gt;Заранее благодарен. <br><br>ключевое слово: "виртуализация"<br><br>