From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Content-Type: text/plain; charset="koi8-r" From: Alex Lyubushkin To: community@altlinux.ru Subject: Re: [Comm] Apache Virtual Hosts - =?koi8-r?b?0M/EINLB2s7Zzck=?= =?koi8-r?b?INDPzNjaz9fB1MXM0c3J?= Date: Thu, 26 Sep 2002 14:36:19 +0400 User-Agent: KMail/1.4.1 References: <3D8E9797.1080902@rmts.donpac.ru> In-Reply-To: <3D8E9797.1080902@rmts.donpac.ru> MIME-Version: 1.0 Content-Transfer-Encoding: 8bit Message-Id: <200209261436.19751.mymail@limark.ru> Sender: community-admin@altlinux.ru Errors-To: community-admin@altlinux.ru X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.0.13 Precedence: bulk Reply-To: community@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: List-Post: В сообщении от 23 Сентябрь 2002 08:24 Прокопьев Евгений написал: > Здравствуйте! > > Требуется держать несколько виртуальных сайтов на Apache + PHP + > Firebird. Необходимо, чтобы каждый сайт работал от имени отдельного > пользователя, у которого соотвестственно (и ни у кого другого) было бы > право на чтение/запись файлов *.html и *.php, а код php исполнялся бы от > имени этого пользователя. Вопросы: > > 1. Правильно ли я понимаю, что для этого мне потребуется apache-suexec? > Как его использовать? В пакете никакой документации, один бинарник. Почти правильно - для выполнения CGI > > 2. Правильно ли я понимаю, что php должен быть сконфигурирован как cgi, > а не как module? Это можно настроить, или надо перекомпилировать php, > входящий в Мастер? Какова будет потеря производительности? > Не обязательно, php в самом себе имеет неплохие средства обеспечения безопасности (SafeMode OpenBaseDir etc). > 3. Что еще я не понимаю? В рамках одного стандартного Apache полность реализовать схему невозможно. Потому что процесс Apache работает под пользователем. И это пользователь должен иметь как минимум права чтения для отображения .html Решений может несколько: 1. (Самое простое, стандартное и легкое для машины) Апач запускать с использованием suexec, безопасно настроить php (php-manual раздел security), регулярно апдейтить апачи-php на предмет устранения найденых багов. Вариант безопасен, ничего не надо перекомпилировать вручную. 2. Есть патч который для разных виртуальных хостов апача запускает процесс под разными пользователями. Патч находить на ранней стадии тестирования. Работоспособность его и отсутсвие проблем не гарантируется. 3. Для каждого пользователя запускать свой отдельный экземпляр апача под правами конкретного пользователя. Вариант не слишком простой для настройки и требующий много памяти, но реальный.