From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 2 Feb 2005 10:29:30 +0200 From: Michael Shigorin To: ALT Devel discussion list Message-ID: <20050202082930.GA10549@osdn.org.ua> Mail-Followup-To: ALT Devel discussion list References: <20050129204231.GA2718@sass.frontier> <20050130144910.GD12311@mithraen.dimline.ru> <20050130155006.GI7805@osdn.org.ua> <200502020210.44222.cray@neural.ru> <20050202064937.GN31800@osdn.org.ua> <420088D3.4020208@altlinux.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <420088D3.4020208@altlinux.ru> User-Agent: Mutt/1.4.2.1i Subject: [devel] Re: apache README.ALT additions wanted X-BeenThere: devel@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: ALT Devel discussion list List-Id: ALT Devel discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 02 Feb 2005 08:29:33 -0000 Archived-At: List-Archive: List-Post: On Wed, Feb 02, 2005 at 10:01:23AM +0200, Andrei Bulava wrote: > >Тем не менее то ли ты не так понял suexec, то ли он > >тебя, то ли я вас обоих -- но cgi, лежащий в $HOME (в сайте, > >который симлинком из /var/www), благополучно взорвался. > А что, разве при вкомпилированном в suexec пути /var/www должно > быть иначе? realpath(3) cgi, лежащего в /home/*, не изменится > от того, что сайт выглядит как находящийся в /var/www благодаря > симлинку, указывающему в /home/*. Да это кристально ясно, когда _вспомнишь_ (ну или посмотришь), что где лежит-то. :) > >Я-то его перенесу на историческую родину и перелинкую навыворот, > >но это надо будет ясно зафиксировать в ридми. > Поучаствуйте в обсуждении такого варианта: > 1) виртхосты живут в /var/www/vhosts (vhosts - не краеугольный > камень, меня устроит любой вариант, ясно отделяющий _все_ > виртхосты от /var/www/{cgi-bin,html,icons,...}) Это уже сделано в той сборке, что в Daedalus. Равно как и /etc/httpd/conf/vhosts.d/ > 2) структура виртхоста - директория с именем, повторяющим > ServerName виртхоста (опять не краеугольный камень, "я так > делаю"), содержит: cgi-bin, html (это есть DocumentRoot > виртхоста). Для удобства пользователей, не желающих вылазить за > пределы $HOME, и админов, не дающих им такой возможности, > симлинки (а скорее mount --bind, см. далее) делаются в $HOME и > указывают в /var/www/vhosts/ Это хорошо бы оскриптовать ("добавлялка" для начала), но по крайней мере уже есть куда. > Плюсы: > 1) в suexec вкомпилирован /var/www, realpath cgi-скриптов ему > соответствует. > > 2) одному пользователю легко может принадлежать несколько > виртхостов, для этого хорош подход по созданию в $HOME > симлинков вида $HOME/ -> /var/www/vhosts/ Угу. > Минусы: > 1) chroot'изированный в $HOME ftp- или scp/sftp-доступ > невозможен без использования mount --bind. Если огромное > количество "Permission denied" в выводе df у простых > пользователей не смущает (хотя о каком запуске df может идти > речь при ftp- или scponly-доступе?), жизнь вполне прекрасна. А если есть достойные шелла -- им раздаётся (заводилкой же) alias df='df 2>/dev/null'. :) > Ну, а если у пользователя не chroot'изированный > scp/sftp-доступ, то костыль с mount --bind ему и вовсе не > понадобится. Или так. -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/