[devel] apache2: умножение псевдопользователей без необходимости

[devel] apache2: умножение псевдопользователей без необходимости

[Igor Vlasenko]

Уважаемые коллеги,
ковырялся с prometeus и столкнулся с тем, то для httpd сервера
у нас 2 псевдопользователя: apache и apache2.

Это не есть хорошо, как показывает следующий пример:
Собрал ovz контейнер под repocop+prometeus c apache2,
но prometeus из коробки не заработал - папка была в группе apache.
поменял группу на apache2 вручную, но возникает вопрос:
зачем вообще нужна эта группа?

Из-за нее такие приложения как prometeus геморройно паковать
так, чтобы они работали под любым апачем.

У меня, например, одна группа tomcat на все tomcat{4,5,6,\to \inf} ---
и никакого геморроя с сервлетами.

-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine

Re: [devel] apache2: умножение псевдопользователей без необходимости

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 845 bytes --]

Igor Vlasenko пишет:
> Уважаемые коллеги,
> ковырялся с prometeus и столкнулся с тем, то для httpd сервера
> у нас 2 псевдопользователя: apache и apache2.
> 
> Это не есть хорошо, как показывает следующий пример:
> Собрал ovz контейнер под repocop+prometeus c apache2,
> но prometeus из коробки не заработал - папка была в группе apache.
> поменял группу на apache2 вручную, но возникает вопрос:
> зачем вообще нужна эта группа?

  Так сложилось исторически.

  Данная проблема мне известна. Планирую её решать через введение
группы, общей для web серверов.

> 
> Из-за нее такие приложения как prometeus геморройно паковать
> так, чтобы они работали под любым апачем.
> 
> У меня, например, одна группа tomcat на все tomcat{4,5,6,\to \inf} ---
> и никакого геморроя с сервлетами.
> 


-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] apache2: умножение псевдопользователей без необходимости

[Igor Vlasenko]

On Wed, May 14, 2008 at 01:15:46PM +0400, Aleksey Avdeev wrote:
> Igor Vlasenko пишет:
> > Уважаемые коллеги,
> > ковырялся с prometeus и столкнулся с тем, то для httpd сервера
> > у нас 2 псевдопользователя: apache и apache2.
>   Так сложилось исторически.
>   Данная проблема мне известна. Планирую её решать через введение
> группы, общей для web серверов.

Спасибо, хорошо.
IMHO, Идеально будет не изобретать нового названия для такой группы
 и назвать ее apache ;)

-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine

Re: [devel] apache2: умножение псевдопользователей без необходимости

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 799 bytes --]

Igor Vlasenko пишет:
> On Wed, May 14, 2008 at 01:15:46PM +0400, Aleksey Avdeev wrote:
>> Igor Vlasenko пишет:
>>> Уважаемые коллеги,
>>> ковырялся с prometeus и столкнулся с тем, то для httpd сервера
>>> у нас 2 псевдопользователя: apache и apache2.
>>   Так сложилось исторически.
>>   Данная проблема мне известна. Планирую её решать через введение
>> группы, общей для web серверов.
> 
> Спасибо, хорошо.
> IMHO, Идеально будет не изобретать нового названия для такой группы
>  и назвать ее apache ;)

  И что тогда будет при обновлении? ;-)

  + Список веб серверов у нас апачами не ограничивается. И, по моему,
правильное направление движения -- в сторону независимости вебприложений
от вебсерверов (на сколько это возможно, разумеется).

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] apache2: умножение псевдопользователей без необходимости

[Michael Shigorin]

On Wed, May 14, 2008 at 02:44:19PM +0300, Igor Vlasenko wrote:
> > > ковырялся с prometeus и столкнулся с тем, то для httpd
> > > сервера у нас 2 псевдопользователя: apache и apache2.
> > Так сложилось исторически.

Плохо сложилось, лучше исторически исправить (s/apache2/apache/g).
Не помню, высказывался ли так, но по крайней мере подумал...

> > Данная проблема мне известна. Планирую её решать через
> > введение группы, общей для web серверов.
> Спасибо, хорошо.  IMHO, Идеально будет не изобретать нового
> названия для такой группы и назвать ее apache ;)

Лучше уж тогда www-data, у нас не только апачи есть.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] apache2: умножение псевдопользователей без необходимости

[Andrey Rahmatullin]

On Wed, May 14, 2008 at 05:11:54PM +0300, Michael Shigorin wrote:
> Лучше уж тогда www-data, у нас не только апачи есть.
+1

Re: [devel] apache2: умножение псевдопользователей без необходимости

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 514 bytes --]

Michael Shigorin пишет:
> On Wed, May 14, 2008 at 02:44:19PM +0300, Igor Vlasenko wrote:
...
> 
>>>Данная проблема мне известна. Планирую её решать через
>>>введение группы, общей для web серверов.
>>
>>Спасибо, хорошо.  IMHO, Идеально будет не изобретать нового
>>названия для такой группы и назвать ее apache ;)
> 
> 
> Лучше уж тогда www-data, у нас не только апачи есть.

  В webserver-common (см. письмо рядом) уже определены _webserver и
webmaster... Менять?

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 556 bytes --]

Re: [devel] apache2: умножение псевдопользователей без необходимости

[Igor Vlasenko]

On Wed, Jun 04, 2008 at 04:57:32PM +0400, Aleksey Avdeev wrote:
> >>Спасибо, хорошо.  IMHO, Идеально будет не изобретать нового
> >>названия для такой группы и назвать ее apache ;)
>   В webserver-common (см. письмо рядом) уже определены _webserver и
> webmaster... Менять?

А почему две группы? 
И как их использовать?
Надо документировать,
и неплохо бы дать пример упаковки web-приложения.
А еще лучше полиси написать :)


-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine

Re: [devel] apache2: умножение псевдопользователей без необходимости

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 858 bytes --]

Igor Vlasenko пишет:
> On Wed, Jun 04, 2008 at 04:57:32PM +0400, Aleksey Avdeev wrote:
> 
>>>>Спасибо, хорошо.  IMHO, Идеально будет не изобретать нового
>>>>названия для такой группы и назвать ее apache ;)
>>
>>  В webserver-common (см. письмо рядом) уже определены _webserver и
>>webmaster... Менять?
> 
> 
> А почему две группы? 

  _webserver -- группа из под которой работает web-сервер (точнее --
псевдопользователь, из под которого запущен сервер, входит в эту группу).

  webmaster -- группа для web-мастеров (пользователей которым разрешено
настраивать приложения руками).

> И как их использовать?
> Надо документировать,
> и неплохо бы дать пример упаковки web-приложения.

  Будет: mediawiki сейчас пакую.

> А еще лучше полиси написать :)

  К мощи коллективного разума взываю я. :-)

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 556 bytes --]

Re: [devel] apache2: умножение псевдопользователей без необходимости

[Vladimir V. Kamarzin]

>>>>> On 04 Jun 2008 at 19:20 "IV" == Igor Vlasenko writes:

IV> А почему две группы? 
IV> И как их использовать?
IV> Надо документировать,

Надо написать webserver packaging policy

IV> и неплохо бы дать пример упаковки web-приложения.
IV> А еще лучше полиси написать :)

http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy

-- 
vvk

Re: [devel] I: Замечания к webpolicy (was: apache2: умножение псевдопользователей без необходимости)

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 872 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 04 Jun 2008 at 19:20 "IV" == Igor Vlasenko writes:
...
> 
> IV> и неплохо бы дать пример упаковки web-приложения.
> IV> А еще лучше полиси написать :)
> 
> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy

  Есть замечание по поводу расположения приложений: в данном полиси
предлагается /var/www/html/addon-modules/<имя>, но я встречал
рекомендации так не делать, т. к. подкаталоги DocumentRoot по умолчанию
доступны на чтение пользователям вебсервера. Для приложений же -- доступ
пользователей к коду (и пр. файлам) не приветствуется... Рекомендовалось
приложения размещать в стороне от DocumentRoot, а доступ организовывать
через Alias.

  С данной рекомендацией я согласен (ссылку, увы, не сохранил) и думаю,
что веб-приложения стоит располагать в /var/www/<имя>.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy (was: apache2: умножение псевдопользователей без необходимости)

[Mikhail A. Pokidko]

2008/6/6 Aleksey Avdeev :
> Vladimir V. Kamarzin пишет:
>>>>>>> On 04 Jun 2008 at 19:20 "IV" == Igor Vlasenko writes:
> ...
>>
>> IV> и неплохо бы дать пример упаковки web-приложения.
>> IV> А еще лучше полиси написать :)
>>
>> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy
>
>  Есть замечание по поводу расположения приложений: в данном полиси
> предлагается /var/www/html/addon-modules/<имя>, но я встречал
> рекомендации так не делать, т. к. подкаталоги DocumentRoot по умолчанию
> доступны на чтение пользователям вебсервера. Для приложений же -- доступ
> пользователей к коду (и пр. файлам) не приветствуется... Рекомендовалось
> приложения размещать в стороне от DocumentRoot, а доступ организовывать
> через Alias.
>
>  С данной рекомендацией я согласен (ссылку, увы, не сохранил) и думаю,
> что веб-приложения стоит располагать в /var/www/<имя>.

Вдруг кого на дельные мысли натолкнёт - перевод debian web-* policy
(одно из прошлых подходов к снаря^Wнаписанию ALT Web-* policy)

http://lists.altlinux.org/pipermail/devel/2007-July/060832.html




-- 
ALTLinux Team
xmpp: pma AT altlinux DOT org

Re: [devel] I: Замечания к webpolicy

[Vladimir V. Kamarzin]

>>>>> On 06 Jun 2008 at 13:12 "MAP" == Mikhail A Pokidko writes:

>>> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy
MAP> Вдруг кого на дельные мысли натолкнёт - перевод debian web-* policy
MAP> (одно из прошлых подходов к снаря^Wнаписанию ALT Web-* policy)
MAP> http://lists.altlinux.org/pipermail/devel/2007-July/060832.html

> 1. CGI-bin
> 
> CGI-bin исполняемые файлы устанавливаются в директорию
> /usr/lib/cgi-bin/<cgi-bin-name> и они доступны по адресу
> http://localhost/cgi-bin/<cgi-bin-name>

У нас для этого исторически сложилось использовать /var/www/cgi-bin/,
предлагаю так и записать в policy. Вернее, сейчас так и запишу, а после
поправим, если что.

> 2. Доступ к HTML документам
>
> HTML документы для приложений хранятся в /usr/share/doc/$package и
> доступны по адресу http://localhost/doc/<package>/<filename>

Не знаю даже что и сказать. :) Это у нас вообще не регламентировано.
Должны ли все веб-сервера предоставлять доступ к /usr/share/doc из коробки?
Мне кажется что нет.

> 3. Доступ к изображениям.
>
> Рекомендуется хранить изображения в /usr/share/images/$package и
> доступ к ним должен производить через альяс /images/
> Например http://localhost/images/<package>/<filename>

А оно надо? Вынуждает майнтейнера на дополнительную возню.

> 4. Document Root

> Для Веб-Приложений следует стараться избегать хранения файлов в
> Document Root. Вместо этого надо использовать директорию
> /usr/share/doc/<package> и зарегистрировать приложение через пакет
> doc-base. Если доступ к Document Root
> неизбежен, используйте /var/www как Document Root.
> Это может быть символической ссылкой на месторасположение файлов, где
> системный администратор разместил настоящий Document Root.

Вообще бред какой-то. Пихать рабочий код приложения в /usr/share/doc - даже
сложно представить, как такое могло придти кому-то в голову.

Может перевод некорректен? Что-то я сходу не нашёл этого в
http://webapps-common.alioth.debian.org/draft/html/

-- 
vvk

Re: [devel] I: Замечания к webpolicy

[Mikhail A. Pokidko]

2008/6/6 Vladimir V. Kamarzin :

> Может перевод некорректен? Что-то я сходу не нашёл этого в
> http://webapps-common.alioth.debian.org/draft/html/

http://www.debian.org/doc/debian-policy/ch-customized-programs.html
Уже не помню почему переводил именно это. 11.5




-- 
ALTLinux Team
xmpp: pma AT altlinux DOT org

Re: [devel] I: Замечания к webpolicy

[Vladimir V. Kamarzin]

>>>>> On 06 Jun 2008 at 14:39 "MAP" == Mikhail A Pokidko writes:

>> Может перевод некорректен? Что-то я сходу не нашёл этого в
>> http://webapps-common.alioth.debian.org/draft/html/

MAP> http://www.debian.org/doc/debian-policy/ch-customized-programs.html
MAP> Уже не помню почему переводил именно это. 11.5

2all FYI:
<dottedmag> soul_r: на alioth лежит драфт, в который перетечёт, всё, что связано в web-ом из официальной policy

-- 
vvk

Re: [devel] I: Замечания к webpolicy

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 2518 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 06 Jun 2008 at 13:12 "MAP" == Mikhail A Pokidko writes:
> 
>>>> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy
> MAP> Вдруг кого на дельные мысли натолкнёт - перевод debian web-* policy
> MAP> (одно из прошлых подходов к снаря^Wнаписанию ALT Web-* policy)
> MAP> http://lists.altlinux.org/pipermail/devel/2007-July/060832.html
> 
>> 1. CGI-bin
>>
>> CGI-bin исполняемые файлы устанавливаются в директорию
>> /usr/lib/cgi-bin/<cgi-bin-name> и они доступны по адресу
>> http://localhost/cgi-bin/<cgi-bin-name>
> 
> У нас для этого исторически сложилось использовать /var/www/cgi-bin/,
> предлагаю так и записать в policy. Вернее, сейчас так и запишу, а после
> поправим, если что.

  +1

> 
>> 2. Доступ к HTML документам
>>
>> HTML документы для приложений хранятся в /usr/share/doc/$package и
>> доступны по адресу http://localhost/doc/<package>/<filename>
> 
> Не знаю даже что и сказать. :) Это у нас вообще не регламентировано.
> Должны ли все веб-сервера предоставлять доступ к /usr/share/doc из коробки?
> Мне кажется что нет.

  +1

  Но иметь подпакеты, предоставляющие такой доступ к html документации
-- полезно. В смысле: пакет сам несёт свою html документацию (или имет
подпакет для этой цели) + есть подпакет настраивающий веб-сервер на
доступ к ней.

> 
>> 3. Доступ к изображениям.
>>
>> Рекомендуется хранить изображения в /usr/share/images/$package и
>> доступ к ним должен производить через альяс /images/
>> Например http://localhost/images/<package>/<filename>
> 
> А оно надо? Вынуждает майнтейнера на дополнительную возню.

  Полезно: для данного каталога можно сделать индивидуальные настройки
(например механизмы кешерования и пр.) с учётом того что в нём статика
(и часто объёмная).

> 
>> 4. Document Root
> 
>> Для Веб-Приложений следует стараться избегать хранения файлов в
>> Document Root. Вместо этого надо использовать директорию
>> /usr/share/doc/<package> и зарегистрировать приложение через пакет
>> doc-base. Если доступ к Document Root
>> неизбежен, используйте /var/www как Document Root.
>> Это может быть символической ссылкой на месторасположение файлов, где
>> системный администратор разместил настоящий Document Root.
> 
> Вообще бред какой-то. Пихать рабочий код приложения в /usr/share/doc - даже
> сложно представить, как такое могло придти кому-то в голову.

  В нашем случаи /usr/share/<package> выглядит логичнее...

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy

[Vladimir V. Kamarzin]

>>>>> On 06 Jun 2008 at 14:59 "AA" == Aleksey Avdeev writes:

>>> 2. Доступ к HTML документам
>>>
>>> HTML документы для приложений хранятся в /usr/share/doc/$package и
>>> доступны по адресу http://localhost/doc/<package>/<filename>
>> 
>> Не знаю даже что и сказать. :) Это у нас вообще не регламентировано.
>> Должны ли все веб-сервера предоставлять доступ к /usr/share/doc из коробки?
>> Мне кажется что нет.

AA>   +1
AA>   Но иметь подпакеты, предоставляющие такой доступ к html документации
AA> -- полезно. В смысле: пакет сам несёт свою html документацию (или имет
AA> подпакет для этой цели) + есть подпакет настраивающий веб-сервер на
AA> доступ к ней.

Если бы у нас документация ложилась в /usr/share/doc/package (без version), то
можно было бы просто обязать майнтейнеров в каком-нибудь policy укладывать
html-документацию в /usr/share/doc/<package>/html, тогда бы никакие доп.пакеты
не понадобились.

Если не убирать version? можно сделать хитро - html-документацию укладывать в
какой-нибудь /usr/share/html-docs/<package>, а в оригинальный
/usr/share/doc/<package>-<version>/ класть симлинк
html -> /usr/share/html-docs/<package>

>>> 3. Доступ к изображениям.
>>>
>>> Рекомендуется хранить изображения в /usr/share/images/$package и
>>> доступ к ним должен производить через альяс /images/
>>> Например http://localhost/images/<package>/<filename>
>> 
>> А оно надо? Вынуждает майнтейнера на дополнительную возню.
AA>   Полезно: для данного каталога можно сделать индивидуальные настройки
AA> (например механизмы кешерования и пр.) с учётом того что в нём статика
AA> (и часто объёмная).

Ну я бы всё-таки не стал делать этот пункт обязательным. Что-то сходу не
вспомнил даже, какие веб-приложения таскают кучу графики в images.

>>> 4. Document Root
>> 
>>> Для Веб-Приложений следует стараться избегать хранения файлов в
>>> Document Root. Вместо этого надо использовать директорию
>>> /usr/share/doc/<package> и зарегистрировать приложение через пакет
>>> doc-base. Если доступ к Document Root
>>> неизбежен, используйте /var/www как Document Root.
>>> Это может быть символической ссылкой на месторасположение файлов, где
>>> системный администратор разместил настоящий Document Root.
>> 
>> Вообще бред какой-то. Пихать рабочий код приложения в /usr/share/doc - даже
>> сложно представить, как такое могло придти кому-то в голову.
AA>   В нашем случаи /usr/share/<package> выглядит логичнее...

Для readonly data именно так, см. опять же
http://webapps-common.alioth.debian.org/draft/html/ch-issues.html

А ежели веб-приложение должно писать куда-то внутри своих внутренностей во
время работы, придётся его патчить, чтобы перенести такие директории куда-то в
другое место, типа /var/lib/<name>. В общем распила не избежать :)

Возможно, стоит предусмотреть два варианта:
- полностью распиливать приложение, как написано в debian web policy
- плюхать целиком в /var/www/webapps/<name>

т.е. не делать распил _обязательным_. Е?

-- 
vvk

Re: [devel] I: Замечания к webpolicy

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 1145 bytes --]

Twas brillig at 15:43:08 06.06.2008 UTC+06 when Vladimir V. Kamarzin did gyre and gimble:

 VVK> А ежели веб-приложение должно писать куда-то внутри своих внутренностей во
 VVK> время работы, придётся его патчить, чтобы перенести такие директории
 VVK> куда-то в другое место, типа /var/lib/<name>. В общем распила не избежать
 VVK> :)

По опыту распила трёх десятков web-приложений - такой распил для них был
тривиален.

Но можно и не пилить, а "инсталлировать" приложение в vhosts. Для этого
желателен некий пакетный менеджер. Можно даже per-vhost rpm использовать, если
сильно хочется, но придётся учесть, что в vhost может встать больше одного
экземпляра.

-- 
JID: dottedmag@altlinux.org / dottedmag@jabber.dottedmag.net

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [devel] I: Замечания к webpolicy

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 821 bytes --]

Mikhail Gusarov пишет:
> Twas brillig at 15:43:08 06.06.2008 UTC+06 when Vladimir V. Kamarzin did gyre and gimble:
> 
>  VVK> А ежели веб-приложение должно писать куда-то внутри своих внутренностей во
>  VVK> время работы, придётся его патчить, чтобы перенести такие директории
>  VVK> куда-то в другое место, типа /var/lib/<name>. В общем распила не избежать
>  VVK> :)
> 
> По опыту распила трёх десятков web-приложений - такой распил для них был
> тривиален.
> 
> Но можно и не пилить, а "инсталлировать" приложение в vhosts. Для этого
> желателен некий пакетный менеджер.

  Одно другому не мешает: менеджер может инсталлировать в vhosts только
изменяемую часть приложения, ту что в /var/www/webapps/<name> (см.
письмо рядом). И такой менеджер сделать желательно.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 2611 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 06 Jun 2008 at 14:59 "AA" == Aleksey Avdeev writes:
> 
...
> AA>   Но иметь подпакеты, предоставляющие такой доступ к html документации
> AA> -- полезно. В смысле: пакет сам несёт свою html документацию (или имет
> AA> подпакет для этой цели) + есть подпакет настраивающий веб-сервер на
> AA> доступ к ней.
> 
> Если бы у нас документация ложилась в /usr/share/doc/package (без version), то
> можно было бы просто обязать майнтейнеров в каком-нибудь policy укладывать
> html-документацию в /usr/share/doc/<package>/html, тогда бы никакие доп.пакеты
> не понадобились.
> 
> Если не убирать version? можно сделать хитро - html-документацию укладывать в
> какой-нибудь /usr/share/html-docs/<package>, а в оригинальный
> /usr/share/doc/<package>-<version>/ класть симлинк
> html -> /usr/share/html-docs/<package>

  Не знаю. Думать надо.

  Я не помню чем у нас обусловлено хранение документации в
/usr/share/doc/<package>-<version> (когда-то обсуждалось в одной из
рассылок)... Подозреваю, что хранение документации без версии -- может
вызвать не очевидные накладки.

> 
>>>> 4. Document Root
>>>> Для Веб-Приложений следует стараться избегать хранения файлов в
>>>> Document Root. Вместо этого надо использовать директорию
>>>> /usr/share/doc/<package> и зарегистрировать приложение через пакет
>>>> doc-base. Если доступ к Document Root
>>>> неизбежен, используйте /var/www как Document Root.
>>>> Это может быть символической ссылкой на месторасположение файлов, где
>>>> системный администратор разместил настоящий Document Root.
>>> Вообще бред какой-то. Пихать рабочий код приложения в /usr/share/doc - даже
>>> сложно представить, как такое могло придти кому-то в голову.
> AA>   В нашем случаи /usr/share/<package> выглядит логичнее...
> 
> Для readonly data именно так, см. опять же
> http://webapps-common.alioth.debian.org/draft/html/ch-issues.html
> 
> А ежели веб-приложение должно писать куда-то внутри своих внутренностей во
> время работы, придётся его патчить, чтобы перенести такие директории куда-то в
> другое место, типа /var/lib/<name>. В общем распила не избежать :)
> 
> Возможно, стоит предусмотреть два варианта:
> - полностью распиливать приложение, как написано в debian web policy
> - плюхать целиком в /var/www/webapps/<name>
                      ^^^^^^^^^^^^^^^^^^^^^^^

  Может сюда и данные приложения писать (которые оно создаёт/меняет во
время работы)?

> 
> т.е. не делать распил _обязательным_. Е?

  +1

  Не везде он возможен малой кровью.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 467 bytes --]

Twas brillig at 13:57:48 06.06.2008 UTC+04 when Aleksey Avdeev did gyre and gimble:

 AA> Я не помню чем у нас обусловлено хранение документации в
 AA> /usr/share/doc/<package>-<version>

rpm штатно умеет ставить два экземпляра пакета с разными версиями, тем и
обсусловлено.

-- 
JID: dottedmag@altlinux.org / dottedmag@jabber.dottedmag.net

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [devel] I: Замечания к webpolicy

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 695 bytes --]

Mikhail Gusarov пишет:
> Twas brillig at 13:57:48 06.06.2008 UTC+04 when Aleksey Avdeev did gyre and gimble:
> 
>  AA> Я не помню чем у нас обусловлено хранение документации в
>  AA> /usr/share/doc/<package>-<version>
> 
> rpm штатно умеет ставить два экземпляра пакета с разными версиями, тем и
> обсусловлено.

  Тогда любая попытка сведения документации в 1 точку (вида ../<name>,
без версии) череповата конфликтами. И если такое сведение выполнять
подпакетами -- конфликт на версии отличные от текущей (в подпакете) не
помешает одновременной установки разных версией экземпляров
родительского пакета (точнее -- не ухудшит текущую ситуацию).

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy

[Vladimir V. Kamarzin]

>>>>> On 06 Jun 2008 at 16:11 "AA" == Aleksey Avdeev writes:

>>  AA> Я не помню чем у нас обусловлено хранение документации в
>>  AA> /usr/share/doc/<package>-<version>
>> 
>> rpm штатно умеет ставить два экземпляра пакета с разными версиями, тем и
>> обсусловлено.

AA>   Тогда любая попытка сведения документации в 1 точку (вида ../<name>,
AA> без версии) череповата конфликтами. И если такое сведение выполнять
AA> подпакетами -- конфликт на версии отличные от текущей (в подпакете) не
AA> помешает одновременной установки разных версией экземпляров
AA> родительского пакета (точнее -- не ухудшит текущую ситуацию).

Напрашивается некий макрос %install_htmldoc :)

-- 
vvk

Re: [devel] I: Замечания к webpolicy

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 888 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 06 Jun 2008 at 16:11 "AA" == Aleksey Avdeev writes:
> 
>>>  AA> Я не помню чем у нас обусловлено хранение документации в
>>>  AA> /usr/share/doc/<package>-<version>
>>>
>>> rpm штатно умеет ставить два экземпляра пакета с разными версиями, тем и
>>> обсусловлено.
> 
> AA>   Тогда любая попытка сведения документации в 1 точку (вида ../<name>,
> AA> без версии) череповата конфликтами. И если такое сведение выполнять
> AA> подпакетами -- конфликт на версии отличные от текущей (в подпакете) не
> AA> помешает одновременной установки разных версией экземпляров
> AA> родительского пакета (точнее -- не ухудшит текущую ситуацию).
> 
> Напрашивается некий макрос %install_htmldoc :)

  Напрашивается.

  Может ставить её в %webserver_datadir/manual-addons (где
%webserver_datadir -- %_var/www)?

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy

[Vladimir V. Kamarzin]

>>>>> On 10 Jun 2008 at 11:28 "AA" == Aleksey Avdeev writes:

>>>>  AA> Я не помню чем у нас обусловлено хранение документации в
>>>>  AA> /usr/share/doc/<package>-<version>
>>>>
>>>> rpm штатно умеет ставить два экземпляра пакета с разными версиями, тем и
>>>> обсусловлено.
>> 
>> AA>   Тогда любая попытка сведения документации в 1 точку (вида ../<name>,
>> AA> без версии) череповата конфликтами. И если такое сведение выполнять
>> AA> подпакетами -- конфликт на версии отличные от текущей (в подпакете) не
>> AA> помешает одновременной установки разных версией экземпляров
>> AA> родительского пакета (точнее -- не ухудшит текущую ситуацию).
>> 
>> Напрашивается некий макрос %install_htmldoc :)

AA>   Напрашивается.
AA>   Может ставить её в %webserver_datadir/manual-addons (где
AA> %webserver_datadir -- %_var/www)?

%webserver_datadir/html/doc выглядет логичнее.

-- 
vvk

Re: [devel] I: Замечания к webpolicy

[Vladimir V. Kamarzin]

>>>>> On 06 Jun 2008 at 15:57 "AA" == Aleksey Avdeev writes:

>> AA>   В нашем случаи /usr/share/<package> выглядит логичнее...
>> 
>> Для readonly data именно так, см. опять же
>> http://webapps-common.alioth.debian.org/draft/html/ch-issues.html
>> 
>> А ежели веб-приложение должно писать куда-то внутри своих внутренностей во
>> время работы, придётся его патчить, чтобы перенести такие директории куда-то в
>> другое место, типа /var/lib/<name>. В общем распила не избежать :)
>> 
>> Возможно, стоит предусмотреть два варианта:
>> - полностью распиливать приложение, как написано в debian web policy
>> - плюхать целиком в /var/www/webapps/<name>
AA>                       ^^^^^^^^^^^^^^^^^^^^^^^

AA>   Может сюда и данные приложения писать (которые оно создаёт/меняет во
AA> время работы)?

Ну /var/lib/<name> гораздо более логичнее для этого использовать с очки зрения
FHS.

Пример: у меня есть пакет mailgraph, он строит графики на тему почты с помощью
rrd. В /var/lib/mailgraph лежат базы rrd и временная директория для генерации
картинок.

В /var/www/webapps/<name> можно размещать вещи типа uploads и т.п.

-- 
vvk

Re: [devel] I: Замечания к webpolicy

[Vladimir V. Kamarzin]

>>>>> On 06 Jun 2008 at 14:59 "AA" == Aleksey Avdeev writes:

>>>>> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy
>> MAP> Вдруг кого на дельные мысли натолкнёт - перевод debian web-* policy
>> MAP> (одно из прошлых подходов к снаря^Wнаписанию ALT Web-* policy)
>> MAP> http://lists.altlinux.org/pipermail/devel/2007-July/060832.html
>> 
>>> 1. CGI-bin
>>>
>>> CGI-bin исполняемые файлы устанавливаются в директорию
>>> /usr/lib/cgi-bin/<cgi-bin-name> и они доступны по адресу
>>> http://localhost/cgi-bin/<cgi-bin-name>
>> 
>> У нас для этого исторически сложилось использовать /var/www/cgi-bin/,
>> предлагаю так и записать в policy. Вернее, сейчас так и запишу, а после
>> поправим, если что.
AA>   +1

Или лучше /var/www/cgi-bin/<name> ? Как-то не очень хорошо разводить свалку в
/var/www/cgi-bin/ + контроль доступа к отдельным cgi с помощью .htaccess
становится более геморройным.

-- 
vvk

Re: [devel] I: Замечания к webpolicy

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 346 bytes --]

Twas brillig at 10:32:51 10.06.2008 UTC+06 when Vladimir V. Kamarzin did gyre and gimble:

 VVK> Или лучше /var/www/cgi-bin/<name> ?

Лучше /usr/{lib,share}/<name>, и дальше делать, что угодно - зачем код в /var хранить?

-- 
JID: dottedmag@altlinux.org / dottedmag@jabber.dottedmag.net

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [devel] I: Замечания к webpolicy

[Vladimir V. Kamarzin]

>>>>> On 10 Jun 2008 at 10:51 "MG" == Mikhail Gusarov writes:

 VVK>> Или лучше /var/www/cgi-bin/<name> ?
MG> Лучше /usr/{lib,share}/<name>, и дальше делать, что угодно - зачем код в /var хранить?

Раз уж начали менять исторически сложившиеся места, почему бы и тут не
сменить? Так и запишем.

2all: посмотрите и выскажите замечания.
http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy?v=16oi

-- 
vvk

Re: [devel] I: Замечания к webpolicy

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 662 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 10 Jun 2008 at 10:51 "MG" == Mikhail Gusarov writes:
> 
>  VVK>> Или лучше /var/www/cgi-bin/<name> ?
> MG> Лучше /usr/{lib,share}/<name>, и дальше делать, что угодно - зачем код в /var хранить?
> 
> Раз уж начали менять исторически сложившиеся места, почему бы и тут не
> сменить? Так и запишем.
> 
> 2all: посмотрите и выскажите замечания.
> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy?v=16oi

  Замечание на тему "2 Конфигурационные файлы: /etc/<имя>/" -- если так
сделаем -- потеряем возможность конфигурировать приложения для разных
vhosts по разному.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy

[Vladimir V. Kamarzin]

>>>>> On 10 Jun 2008 at 11:20 "AA" == Aleksey Avdeev writes:

>>  VVK>> Или лучше /var/www/cgi-bin/<name> ?
>> MG> Лучше /usr/{lib,share}/<name>, и дальше делать, что угодно - зачем код в /var хранить?
>> 
>> Раз уж начали менять исторически сложившиеся места, почему бы и тут не
>> сменить? Так и запишем.
>> 
>> 2all: посмотрите и выскажите замечания.
>> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy?v=16oi

AA>   Замечание на тему "2 Конфигурационные файлы: /etc/<имя>/" -- если так
AA> сделаем -- потеряем возможность конфигурировать приложения для разных
AA> vhosts по разному.

Обратите внимание, что всё это дело идёт под заголовком "Системные
веб-приложения и приложения для single-hosting". С vhost-ами всё сложнее,
по-моему не стоит смешивать эти сущности.

-- 
vvk

Re: [devel] I: ╥пэуГпщьО з webpolicy

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1412 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>>On 10 Jun 2008 at 11:20 "AA" == Aleksey Avdeev writes:
> 
> 
>>> VVK>> Или лучше /var/www/cgi-bin/<name> ?
>>>MG> Лучше /usr/{lib,share}/<name>, и дальше делать, что угодно - зачем код в /var хранить?
>>>
>>>Раз уж начали менять исторически сложившиеся места, почему бы и тут не
>>>сменить? Так и запишем.
>>>
>>>2all: посмотрите и выскажите замечания.
>>>http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy?v=16oi
> 
> 
> AA>   Замечание на тему "2 Конфигурационные файлы: /etc/<имя>/" -- если так
> AA> сделаем -- потеряем возможность конфигурировать приложения для разных
> AA> vhosts по разному.
> 
> Обратите внимание, что всё это дело идёт под заголовком "Системные
> веб-приложения и приложения для single-hosting". С vhost-ами всё сложнее,
> по-моему не стоит смешивать эти сущности.

  Но их наличие необходимо учитывать: в apache2 они включены по
умолчанию и single-hosting там работает через умолчальный vhost (да, с
корнем в %webserver_datadir, но vhost).

  + есть желание написать полиси так, чтобы оно расширялось на случай
vhosts минимальной доработкой.

PS: Да, без специального менеджера нормальное управление вебприложениями
в vhosts нам не сделать. Но получить решение, расширяющиеся до случая
vhosts простым переносом корня в другое место (на пару уровней ниже) мы
вполне можем...

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 556 bytes --]

Re: [devel] I: замечания к webpolicy

[Vladimir V. Kamarzin]

>>>>> On 11 Jun 2008 at 13:06 "AA" == Aleksey Avdeev writes:

>> AA>   Замечание на тему "2 Конфигурационные файлы: /etc/<имя>/" -- если так
>> AA> сделаем -- потеряем возможность конфигурировать приложения для разных
>> AA> vhosts по разному.
>> 
>> Обратите внимание, что всё это дело идёт под заголовком "Системные
>> веб-приложения и приложения для single-hosting". С vhost-ами всё сложнее,
>> по-моему не стоит смешивать эти сущности.

AA>   Но их наличие необходимо учитывать: в apache2 они включены по
AA> умолчанию и single-hosting там работает через умолчальный vhost (да, с
AA> корнем в %webserver_datadir, но vhost).

Ну vhost-конфигация вебсервера это дело десятое, в плане вебполиси нас прежде
всего интересуют эти vhost-ы как некие объекты файловой системы,
т.е. находящиеся где-то vhosts/{domain1,domain2,domain3} etc, в которые нам
надо "установить" веб-приложение.

AA>   + есть желание написать полиси так, чтобы оно расширялось на случай
AA> vhosts минимальной доработкой.

Звучит фантастично. :)

AA> PS: Да, без специального менеджера нормальное управление вебприложениями
AA> в vhosts нам не сделать. Но получить решение, расширяющиеся до случая
AA> vhosts простым переносом корня в другое место (на пару уровней ниже) мы
AA> вполне можем...

Я склоняюсь к тому, что приложения, предназначенные для vhost-ирования, нужно
паковать одним большим куском. В /usr/share/<name>. И неким спец. инструментом
"устанавливать" это дело в /var/www/vhosts/foo.tld/.

Кажется такой велосипед кто-то уже изобретал, и даже заливал в Daedalus. Надо
перекопать архив mike-а (который "webpolicy").

-- 
vvk

Re: [devel] I: впэуГпщьО з webpolicy

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 3588 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>>On 11 Jun 2008 at 13:06 "AA" == Aleksey Avdeev writes:
> 
> 
>>>AA>   Замечание на тему "2 Конфигурационные файлы: /etc/<имя>/" -- если так
>>>AA> сделаем -- потеряем возможность конфигурировать приложения для разных
>>>AA> vhosts по разному.
>>>
>>>Обратите внимание, что всё это дело идёт под заголовком "Системные
>>>веб-приложения и приложения для single-hosting". С vhost-ами всё сложнее,
>>>по-моему не стоит смешивать эти сущности.
> 
> 
> AA>   Но их наличие необходимо учитывать: в apache2 они включены по
> AA> умолчанию и single-hosting там работает через умолчальный vhost (да, с
> AA> корнем в %webserver_datadir, но vhost).
> 
> Ну vhost-конфигация вебсервера это дело десятое, в плане вебполиси нас прежде
> всего интересуют эти vhost-ы как некие объекты файловой системы,
> т.е. находящиеся где-то vhosts/{domain1,domain2,domain3} etc, в которые нам
> надо "установить" веб-приложение.

  На данном этапе (см. ниже) -- да.

> 
> AA>   + есть желание написать полиси так, чтобы оно расширялось на случай
> AA> vhosts минимальной доработкой.
> 
> Звучит фантастично. :)

  А что делать? :-)

> 
> AA> PS: Да, без специального менеджера нормальное управление вебприложениями
> AA> в vhosts нам не сделать. Но получить решение, расширяющиеся до случая
> AA> vhosts простым переносом корня в другое место (на пару уровней ниже) мы
> AA> вполне можем...
> 
> Я склоняюсь к тому, что приложения, предназначенные для vhost-ирования, нужно
> паковать одним большим куском. В /usr/share/<name>. И неким спец. инструментом
> "устанавливать" это дело в /var/www/vhosts/foo.tld/.

  Да (только паковать не одним, а двумя кусками, см. ниже). И сейчас
меня волнует -- в каком именно виде оно будет находиться в этом
/var/www/vhosts/foo.tld/...

  На данный момент исхожу из того, что будет весьма неплохо если
размещение приложения в /var/www/vhosts/foo.tld/ будет таким-же как
размещение этого же приложения в /var/www/ (как минимум, это позволит
отловить большинство грабель уже сейчас) => размещение частей приложения
описываемое разрабатываемой а данный момент полиси должно учитывать
возможное перемещение корня вебсервера из /var/www/ в
/var/www/vhosts/foo.tld/.

  Т. е. на данный момент я согласен с тем, что /var/www/ желательно
разгрузить:

1. Вынести от туда все _сайтонезависимые_ части приложений (то, что
может разделяться несколькими независимыми vhost).

2. Вынести всю пакетную HTML документацию (т. к. она зависит не от
сайтов, а от установленных в системе пакетов).

  Но всё сайтозависимое -- следует оставить в /var/www/, т. к. тогда оно
сможет уехать на уровень /var/www/vhosts/foo.tld/ простым образом.

  Всё это -- *Первый* этап. Основная задача -- понять что и где
располагать лучше (и зафиксировать в полиси).

  Второй этап -- обеспечить чтобы в /var/www/ были только ссылки, копии
файлов (расположенных в другом месте) и "ручная работа" администратора.
На этом этапе планирую уход от прямой связи между содержимым /var/www/ и
содержимым пакетов с вебприложеня в пользу связи через промежуточный
слой: ставим приложение через rpm, но публикацией, переключением режимов
функционирования и обновлением опубликованного -- занимается нечто на
подобии chkconfig/control.

  Третий этап -- учим менеджер вебприложений работать с vhosts.

> 
> Кажется такой велосипед кто-то уже изобретал, и даже заливал в Daedalus. Надо
> перекопать архив mike-а (который "webpolicy").

  Я на него смотрел. Требуется доработка.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 556 bytes --]

Re: [devel] I: Замечания к webpolicy "2 Конфигурационные файлы: /etc/<имя>/"

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1146 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 10 Jun 2008 at 11:20 "AA" == Aleksey Avdeev writes:
> 
...
>>> 2all: посмотрите и выскажите замечания.
>>> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy?v=16oi
> 
> AA>   Замечание на тему "2 Конфигурационные файлы: /etc/<имя>/" -- если так
> AA> сделаем -- потеряем возможность конфигурировать приложения для разных
> AA> vhosts по разному.
> 
> Обратите внимание, что всё это дело идёт под заголовком "Системные
> веб-приложения и приложения для single-hosting". С vhost-ами всё сложнее,
> по-моему не стоит смешивать эти сущности.

  Похоже у меня небольшая путаница в голове: Что имеется в виду под
"Системные веб-приложения и приложения для single-hosting"?

  Если приложения у которых кроме веб-морды есть ещё и "подземная" часть
(например, демон или скрипты отрабатывающие по крону) -- то конфиги
таких приложений действительно нужно выносить в /etc/<имя>/ (и в идеале
-- распилить приложение на веб и невеб части).

  Если приложение чисто веб -- то вынос конфигов в /etc/ вреден.

PS: С данными в /var/ ситуация похожая.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy "2 Конфигурационные файлы: /etc/<имя>/"

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 1318 bytes --]

Twas brillig at 15:56:50 17.06.2008 UTC+04 when Aleksey Avdeev did gyre and gimble:

 AA>   Похоже у меня небольшая путаница в голове: Что имеется в виду под
 AA> "Системные веб-приложения и приложения для single-hosting"?

Вот собственно эти:

 AA> Если приложения у которых кроме веб-морды есть ещё и "подземная" часть
 AA> (например, демон или скрипты отрабатывающие по крону) -- то конфиги таких
 AA> приложений действительно нужно выносить в /etc/<имя>/ (и в идеале --
 AA> распилить приложение на веб и невеб части).

Впрочем, отрабатывание скриптов по крону - ещё не признак "не вебовости". У той
же bugzilla есть отсылка нотификаций о забытых багах по крону, но при этом это
чистое web-приложение, упаковка которого для virtual hosting'а вполне возможна.

-- 
JID: dottedmag@altlinux.org / dottedmag@jabber.dottedmag.net

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [devel] I: Замечания к webpolicy "2 Конфигурационные файлы: /etc/<имя>/"

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1896 bytes --]

Mikhail Gusarov пишет:
> Twas brillig at 15:56:50 17.06.2008 UTC+04 when Aleksey Avdeev did gyre and gimble:
> 
>  AA>   Похоже у меня небольшая путаница в голове: Что имеется в виду под
>  AA> "Системные веб-приложения и приложения для single-hosting"?
> 
> Вот собственно эти:
> 
>  AA> Если приложения у которых кроме веб-морды есть ещё и "подземная" часть
>  AA> (например, демон или скрипты отрабатывающие по крону) -- то конфиги таких
>  AA> приложений действительно нужно выносить в /etc/<имя>/ (и в идеале --
>  AA> распилить приложение на веб и невеб части).

  Значит это надо по чётче отразить в полиси.

> 
> Впрочем, отрабатывание скриптов по крону - ещё не признак "не вебовости". У той
> же bugzilla есть отсылка нотификаций о забытых багах по крону, но при этом это
> чистое web-приложение, упаковка которого для virtual hosting'а вполне возможна.

  Возможно. Но тогда придётся рассматривать случай установки нескольких
bugzilla на одном хосте: для каждого экземпляра придётся предусматривать
менеджер для запуска скриптов по крону и разные умолчания для имени БД
(это только то, что я помню)...

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy "2 Конфигурационные файлы: /etc/<имя>/"

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 788 bytes --]

Twas brillig at 16:17:52 17.06.2008 UTC+04 when Aleksey Avdeev did gyre and gimble:

 AA>   Возможно. Но тогда придётся рассматривать случай установки нескольких
 AA> bugzilla на одном хосте: для каждого экземпляра придётся предусматривать
 AA> менеджер для запуска скриптов по крону и разные умолчания для имени БД (это
 AA> только то, что я помню)...

Так разумеется.

Про "имя DB" - прочитайте уже, наконец, спеку на APS, я там всё это уже делал.

-- 
JID: dottedmag@altlinux.org / dottedmag@jabber.dottedmag.net

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [devel] I: Замечания к webpolicy

[Mikhail A. Pokidko]

2008/6/10 Vladimir V. Kamarzin:
>>>>>> On 10 Jun 2008 at 10:51 "MG" == Mikhail Gusarov writes:
>
>  VVK>> Или лучше /var/www/cgi-bin/<name> ?
> MG> Лучше /usr/{lib,share}/<name>, и дальше делать, что угодно - зачем код в /var хранить?
>
> Раз уж начали менять исторически сложившиеся места, почему бы и тут не
> сменить? Так и запишем.
>
> 2all: посмотрите и выскажите замечания.
> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy?v=16oi

>>Упаковка веб-приложений для использования на виртуальном хостинге


Может, выбрать вариант с /vhosts/ между {%_libdir|%_datadir} и /<имя>/
? Т.е. сохранение описанной иерархии с добавлением еще одного
подуровня для приложений виртуального хостинга?



-- 
ALTLinux Team
xmpp: pma AT altlinux DOT org

Re: [devel] I: Замечания к webpolicy

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1384 bytes --]

Mikhail A. Pokidko пишет:
> 2008/6/10 Vladimir V. Kamarzin:
>>>>>>> On 10 Jun 2008 at 10:51 "MG" == Mikhail Gusarov writes:
>>  VVK>> Или лучше /var/www/cgi-bin/<name> ?
>> MG> Лучше /usr/{lib,share}/<name>, и дальше делать, что угодно - зачем код в /var хранить?
>>
>> Раз уж начали менять исторически сложившиеся места, почему бы и тут не
>> сменить? Так и запишем.
>>
>> 2all: посмотрите и выскажите замечания.
>> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy?v=16oi
> 
>>> Упаковка веб-приложений для использования на виртуальном хостинге
> 
> 
> Может, выбрать вариант с /vhosts/ между {%_libdir|%_datadir} и /<имя>/
> ? Т.е. сохранение описанной иерархии с добавлением еще одного
> подуровня для приложений виртуального хостинга?

  А если vhosts отсутствуют?

  Наиболее логичный, с моей колокольни, вариант -- сделать так, чтобы
изменяемые данные vhost`ов жили в одном месте: в
%webserver_datadir/vhosts/<имя>. (Как минимум это позволит
удалять/копировать/клонировать их простым образом. Неизменяемые данные
(ресурсы/код) -- могут при этом жить в /usr/* и быть общими для всех
vhosts.)

  + _крайне_ желательно чтобы структура vhost`ов (и размещение
приложений в них) совпадала с оной для основного сервера: Это позволит
использовать одни и те-же механизмы для управления всем этим хозяйством.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy

[Mikhail A. Pokidko]

2008/6/10 Aleksey Avdeev :
> Mikhail A. Pokidko пишет:
>> 2008/6/10 Vladimir V. Kamarzin:
>>>>>>>> On 10 Jun 2008 at 10:51 "MG" == Mikhail Gusarov writes:
>>>  VVK>> Или лучше /var/www/cgi-bin/<name> ?
>>> MG> Лучше /usr/{lib,share}/<name>, и дальше делать, что угодно - зачем код в /var хранить?
>>>
>>> Раз уж начали менять исторически сложившиеся места, почему бы и тут не
>>> сменить? Так и запишем.
>>>
>>> 2all: посмотрите и выскажите замечания.
>>> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy?v=16oi
>>
>>>> Упаковка веб-приложений для использования на виртуальном хостинге
>>
>>
>> Может, выбрать вариант с /vhosts/ между {%_libdir|%_datadir} и /<имя>/
>> ? Т.е. сохранение описанной иерархии с добавлением еще одного
>> подуровня для приложений виртуального хостинга?
>
>  А если vhosts отсутствуют?
>
>  Наиболее логичный, с моей колокольни, вариант -- сделать так, чтобы
> изменяемые данные vhost`ов жили в одном месте: в
> %webserver_datadir/vhosts/<имя>. (Как минимум это позволит
> удалять/копировать/клонировать их простым образом. Неизменяемые данные
> (ресурсы/код) -- могут при этом жить в /usr/* и быть общими для всех
> vhosts.)

Хм, тогда делать "общее на всех приложение стоит в
/usr/{share,lib}/name-version/, а версия с хаками для отдельных
вхостов - /usr/{share,lib}/name-version-suffix/" ?
Надо подумать

>  + _крайне_ желательно чтобы структура vhost`ов (и размещение
> приложений в них) совпадала с оной для основного сервера: Это позволит
> использовать одни и те-же механизмы для управления всем этим хозяйством.
Ну это-то понятно, что структура должна быть единообразной




-- 
ALTLinux Team
xmpp: pma AT altlinux DOT org

Re: [devel] I: Замечания к webpolicy, краткий анализ структуры.

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 2634 bytes --]

Mikhail A. Pokidko пишет:
> 2008/6/10 Aleksey Avdeev :
> 
>>Mikhail A. Pokidko пишет:
>>
>>>2008/6/10 Vladimir V. Kamarzin:
>>>
>>>>>>>>>On 10 Jun 2008 at 10:51 "MG" == Mikhail Gusarov writes:
>>>>
>>>> VVK>> Или лучше /var/www/cgi-bin/<name> ?
>>>>MG> Лучше /usr/{lib,share}/<name>, и дальше делать, что угодно - зачем код в /var хранить?
>>>>
>>>>Раз уж начали менять исторически сложившиеся места, почему бы и тут не
>>>>сменить? Так и запишем.

  Похоже я понял, чем смена исторически сложившихся мест (подкаталогов
%webserver_datadir) на новые (расположенные вне %webserver_datadir) мне
не нравится: такие действия потребуют дублировать структуру vhosts в
нескольких местах. А это в свою очередь -- породит букет не очевидных
взаимо зависимостей.

  Текущая структура (отражена в макросах пакета webserver-common,
подразумеваю, что умолчальная структура конкретного vhost совпадает с
коревой):

%webserver_datadir (%_var/www)
|
|- html (%webserver_htdocsdir)
|- cgi-bin (%webserver_cgibindir)
|- icons (%webserver_iconsdir)
|- webapps (%webserver_webapps)
|- vhosts (%webserver_vhostdir)
   |
   |- <имя vhost>
      |
      |- html
      |- cgi-bin
      |- icons
      |- webapps

  Если мы попытаемся что-то переместить в другое место (например,
cgi-bin в /usr/share/) -- нам придётся каким-то образом дублировать
схему организации vhosts (т. к. содержимое cgi-bin во всех vhost
совпадать не обязано), например так:

/usr/share/webserver
|
|- cgi-bin
|- vhosts
   |
   |- <имя vhost>
      |
      |- cgi-bin

  Что видим:

1. Явный дубляж организационной структуры vhosts в другом месте.

2. Эта структура сложнее предлагаемой /usr/share/cgi-bin/<имя
приложения>, т. к. пространства имён vhosts и приложений необходимо
разделять явно (для исключения конфликтов).

3. Динамическая по сути (т. к. зависит только от настройки веб-сервера)
структура vhosts оказывается в /usr... Не думаю, что это правильно.

  И если с п. 3 можно бороться, вынося подобные структуры в /var, то
пп. 1 и 2 -- родовая травма подобных решений...

  Это что касается части видимой пользователю (присутствующей в HTTP
запросах). С сайтонезависимой частью, невидимой для пользователей (код
разного рода, к которому нет обращения через URL на прямую) проще -- её
действительно можно куда нибудь вынести.

PS: Видимую часть тоже можно вынести, оставив в %webserver_datadir
симлинки и/или копии файлов. Но тогда потребуется спецменеджер для
управления всем этим хозяйством. А его, у нас, пока нет (про
эксперименты в данном направлении помню).

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 556 bytes --]

Re: [devel] I: Замечания к webpolicy, краткий анализ структуры.

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 648 bytes --]

Twas brillig at 02:05:04 11.06.2008 UTC+04 when Aleksey Avdeev did gyre and gimble:


 AA> /usr/share/webserver
 AA> |
 AA> |- cgi-bin
 AA> |- vhosts
 AA>    |
 AA>    |- <имя vhost>
 AA>       |
 AA>       |- cgi-bin

Эээ. vhosts в /usr/share делать нельзя - пакеты там контролируются пакетным
менеджером.

В /usr/share складывать нужно только данные и код, относящиеся к приложениям, а
не к их конкретным экземплярам.

-- 
JID: dottedmag@altlinux.org / dottedmag@jabber.dottedmag.net

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [devel] I: Замечания к webpolicy, краткий анализ структуры.

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1306 bytes --]

Mikhail Gusarov пишет:
> Twas brillig at 02:05:04 11.06.2008 UTC+04 when Aleksey Avdeev did gyre and gimble:
> 
> 
>  AA> /usr/share/webserver
>  AA> |
>  AA> |- cgi-bin
>  AA> |- vhosts
>  AA>    |
>  AA>    |- <имя vhost>
>  AA>       |
>  AA>       |- cgi-bin
> 
> Эээ. vhosts в /usr/share делать нельзя - пакеты там контролируются пакетным
> менеджером.

  См. п. 3 -- примерно про это я и писал (о наступании на данные грабли
при попытке расширить решение на случай vhosts).

> 
> В /usr/share складывать нужно только данные и код, относящиеся к приложениям, а
> не к их конкретным экземплярам.

  +1

  И стоит учитывать, что такие вещи как картинки, логотипы и пр. дизайн
вполне могут быть заменены администратором => им тоже не место в /usr.
(+ отдельный вопрос, как сохранять такие изменения при обновлении
пакетов...)

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 556 bytes --]

Re: [devel] I: Замечания к webpolicy [cgi-bin]

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 545 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 10 Jun 2008 at 10:51 "MG" == Mikhail Gusarov writes:
> 
...
> 2all: посмотрите и выскажите замечания.
> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy?v=16oi
> 

1. Как быть, если приложение содержит архитектурно зависимые и
независимые cgi-файлы _одновременно_: обеспечивать к ним доступ по
разным URL (что-то типа .../cgi-bin1/<скрипт> и .../cgi-bin2/<скрипт>)?

2. Как быть с cgi скриптами общего плана (например идущими с самим
apache`м)?

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy [cgi-bin]

[Vladimir V. Kamarzin]

[-- Attachment #1: Type: text/plain, Size: 457 bytes --]

>>>>> On 17 Jun 2008 at 18:08 "AA" == Aleksey Avdeev writes:

>> 2all: посмотрите и выскажите замечания.
>> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy?v=16oi
AA> 1. Как быть, если приложение содержит архитектурно зависимые и
AA> независимые cgi-файлы _одновременно_: обеспечивать к ним доступ по
AA> разным URL (что-то типа .../cgi-bin1/<скрипт> и .../cgi-bin2/<скрипт>)?

В policy предусмотрен вариант
/usr/share/<имя>/<каталог> 

[-- Attachment #2: Type: text/plain, Size: 2 bytes --]

~ 

[-- Attachment #3: Type: text/plain, Size: 183 bytes --]

любой уникальный каталог внутри директории веб-приложения

AA> 2. Как быть с cgi скриптами общего плана (например идущими с самим
AA> apache`м)?

Согласно policy.

-- 
vvk

Re: [devel] I: Замечания к webpolicy [cgi-bin]

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1260 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 17 Jun 2008 at 18:08 "AA" == Aleksey Avdeev writes:
> 
>>> 2all: посмотрите и выскажите замечания.
>>> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy?v=16oi
> AA> 1. Как быть, если приложение содержит архитектурно зависимые и
> AA> независимые cgi-файлы _одновременно_: обеспечивать к ним доступ по
> AA> разным URL (что-то типа .../cgi-bin1/<скрипт> и .../cgi-bin2/<скрипт>)?
> 
> В policy предусмотрен вариант
> /usr/share/<имя>/<каталог> 

  В таком случаи в /usr/share/<имя>/<каталог> будет и архитектурно
зависимая часть...

  Перефразирую предыдущее письмо: есть ли простые способы отобразить 2
размещения на 1 URL?

...
> 
> любой уникальный каталог внутри директории веб-приложения
> 
> AA> 2. Как быть с cgi скриптами общего плана (например идущими с самим
> AA> apache`м)?
> 
> Согласно policy.

  Есть сомнения:

  По аналогии с другими приложениями, здесь тоже видно 2 схемы хранения:

1. Всё нужное в 1 стандартном месте (cgi-bin/ как аналог bin/).

2. Каждому приложению -- своё уникальное место (cgi-bin/<имя>/ как
аналог bin/<имя>/).

  Полиси сейчас развивается в сторону варианта 2. Сомневаюсь, что это
правельно...

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy [cgi-bin]

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 903 bytes --]

Aleksey Avdeev пишет:
> Vladimir V. Kamarzin пишет:
...
>>
>> AA> 2. Как быть с cgi скриптами общего плана (например идущими с самим
>> AA> apache`м)?
>>
>> Согласно policy.
> 
>   Есть сомнения:
> 
>   По аналогии с другими приложениями, здесь тоже видно 2 схемы хранения:
> 
> 1. Всё нужное в 1 стандартном месте (cgi-bin/ как аналог bin/).
> 
> 2. Каждому приложению -- своё уникальное место (cgi-bin/<имя>/ как
> аналог bin/<имя>/).
> 
>   Полиси сейчас развивается в сторону варианта 2. Сомневаюсь, что это
> правельно...

  Точнее: Для комплектов взаимоувязанных скриптов (и не используемых
через ручной набор URL, в идеале) обращение как
.../cgi-bin/<имя>/<скрипт> выглядит осмысленным. Для независимых же
скриптов (тем более, используемых через ручной набор URL) -- нет, тут
обращение .../cgi-bin/<скрипт> выглядит предпочтительнее.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy [cgi-bin]

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 470 bytes --]

Aleksey Avdeev пишет:
...
>   Точнее: Для комплектов взаимоувязанных скриптов (и не используемых
> через ручной набор URL, в идеале) обращение как
> .../cgi-bin/<имя>/<скрипт> выглядит осмысленным. Для независимых же
> скриптов (тем более, используемых через ручной набор URL) -- нет, тут
> обращение .../cgi-bin/<скрипт> выглядит предпочтительнее.

  См. <http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy?v=pxb>

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy

[Mikhail A. Pokidko]

2008/6/10 Vladimir V. Kamarzin :

> Или лучше /var/www/cgi-bin/<name> ? Как-то не очень хорошо разводить свалку в
> /var/www/cgi-bin/ + контроль доступа к отдельным cgi с помощью .htaccess
> становится более геморройным.
+1, ибо так по факту и приходится делать, если не хочется/мешает
получающийся бардак




-- 
ALTLinux Team
xmpp: pma AT altlinux DOT org

Re: [devel] I: Замечания к webpolicy

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 2518 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 06 Jun 2008 at 13:12 "MAP" == Mikhail A Pokidko writes:
> 
>>>> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy
> MAP> Вдруг кого на дельные мысли натолкнёт - перевод debian web-* policy
> MAP> (одно из прошлых подходов к снаря^Wнаписанию ALT Web-* policy)
> MAP> http://lists.altlinux.org/pipermail/devel/2007-July/060832.html
> 
>> 1. CGI-bin
>>
>> CGI-bin исполняемые файлы устанавливаются в директорию
>> /usr/lib/cgi-bin/<cgi-bin-name> и они доступны по адресу
>> http://localhost/cgi-bin/<cgi-bin-name>
> 
> У нас для этого исторически сложилось использовать /var/www/cgi-bin/,
> предлагаю так и записать в policy. Вернее, сейчас так и запишу, а после
> поправим, если что.

  +1

> 
>> 2. Доступ к HTML документам
>>
>> HTML документы для приложений хранятся в /usr/share/doc/$package и
>> доступны по адресу http://localhost/doc/<package>/<filename>
> 
> Не знаю даже что и сказать. :) Это у нас вообще не регламентировано.
> Должны ли все веб-сервера предоставлять доступ к /usr/share/doc из коробки?
> Мне кажется что нет.

  +1

  Но иметь подпакеты, предоставляющие такой доступ к html документации
-- полезно. В смысле: пакет сам несёт свою html документацию (или имет
подпакет для этой цели) + есть подпакет настраивающий веб-сервер на
доступ к ней.

> 
>> 3. Доступ к изображениям.
>>
>> Рекомендуется хранить изображения в /usr/share/images/$package и
>> доступ к ним должен производить через альяс /images/
>> Например http://localhost/images/<package>/<filename>
> 
> А оно надо? Вынуждает майнтейнера на дополнительную возню.

  Полезно: для данного каталога можно сделать индивидуальные настройки
(например механизмы кешерования и пр.) с учётом того что в нём статика
(и часто объёмная).

> 
>> 4. Document Root
> 
>> Для Веб-Приложений следует стараться избегать хранения файлов в
>> Document Root. Вместо этого надо использовать директорию
>> /usr/share/doc/<package> и зарегистрировать приложение через пакет
>> doc-base. Если доступ к Document Root
>> неизбежен, используйте /var/www как Document Root.
>> Это может быть символической ссылкой на месторасположение файлов, где
>> системный администратор разместил настоящий Document Root.
> 
> Вообще бред какой-то. Пихать рабочий код приложения в /usr/share/doc - даже
> сложно представить, как такое могло придти кому-то в голову.

  В нашем случаи /usr/share/<package> выглядит логичнее...

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy

[Vladimir V. Kamarzin]

>>>>> On 06 Jun 2008 at 13:00 "AA" == Aleksey Avdeev writes:


>> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy
AA>   Есть замечание по поводу расположения приложений: в данном полиси
AA> предлагается /var/www/html/addon-modules/<имя>, но я встречал
AA> рекомендации так не делать, т. к. подкаталоги DocumentRoot по умолчанию
AA> доступны на чтение пользователям вебсервера.

Стоп, а как веб-приложение вообще будет работать, если у веб-сервера нет
возможности чтения файлов?

AA> Для приложений же -- доступ
AA> пользователей к коду (и пр. файлам) не приветствуется... Рекомендовалось
AA> приложения размещать в стороне от DocumentRoot, а доступ организовывать
AA> через Alias.

Что-то я не совсем понимаю вас. Напишите пожалуйста чётче, про каких
пользователей вы говорите - про псевдопользователей от которых работают
веб-серверы или про каких-то других?

AA>   С данной рекомендацией я согласен (ссылку, увы, не сохранил) и думаю,
AA> что веб-приложения стоит располагать в /var/www/<имя>.

/var/www/addon-modules/<name> кажется лучше с эстетической точки зрения - не
стоит разводить кашу в /var/www.

-- 
vvk

Re: [devel] I: Замечания к webpolicy

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1508 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 06 Jun 2008 at 13:00 "AA" == Aleksey Avdeev writes:
> 
> 
>>> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy
> AA>   Есть замечание по поводу расположения приложений: в данном полиси
> AA> предлагается /var/www/html/addon-modules/<имя>, но я встречал
> AA> рекомендации так не делать, т. к. подкаталоги DocumentRoot по умолчанию
> AA> доступны на чтение пользователям вебсервера.
> 
> Стоп, а как веб-приложение вообще будет работать, если у веб-сервера нет
> возможности чтения файлов?

  У веб-сервера возможность прочитать файлы должна быть. Но он не должен
 отдавать прочитанный файл пользователю, по HTTP.

> 
> AA> Для приложений же -- доступ
> AA> пользователей к коду (и пр. файлам) не приветствуется... Рекомендовалось
> AA> приложения размещать в стороне от DocumentRoot, а доступ организовывать
> AA> через Alias.
> 
> Что-то я не совсем понимаю вас. Напишите пожалуйста чётче, про каких
> пользователей вы говорите - про псевдопользователей от которых работают
> веб-серверы или про каких-то других?

  Имею в виду пользователей, общающихся с сервером по HTTP.

> 
> AA>   С данной рекомендацией я согласен (ссылку, увы, не сохранил) и думаю,
> AA> что веб-приложения стоит располагать в /var/www/<имя>.
> 
> /var/www/addon-modules/<name> кажется лучше с эстетической точки зрения - не
> стоит разводить кашу в /var/www.

  Возможно. На мой взгляд -- варианты равноценны.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Замечания к webpolicy

[Vladimir V. Kamarzin]

>>>>> On 06 Jun 2008 at 14:33 "AA" == Aleksey Avdeev writes:

>>>> http://freesource.info/wiki/AltLinux/Policy/Drafts/webpolicy
>> AA>   Есть замечание по поводу расположения приложений: в данном полиси
>> AA> предлагается /var/www/html/addon-modules/<имя>, но я встречал
>> AA> рекомендации так не делать, т. к. подкаталоги DocumentRoot по умолчанию
>> AA> доступны на чтение пользователям вебсервера.
>> 
>> Стоп, а как веб-приложение вообще будет работать, если у веб-сервера нет
>> возможности чтения файлов?
AA>   У веб-сервера возможность прочитать файлы должна быть. Но он не должен
AA>  отдавать прочитанный файл пользователю, по HTTP.

+1

>> AA>   С данной рекомендацией я согласен (ссылку, увы, не сохранил) и думаю,
>> AA> что веб-приложения стоит располагать в /var/www/<имя>.
>> 
>> /var/www/addon-modules/<name> кажется лучше с эстетической точки зрения - не
>> стоит разводить кашу в /var/www.
AA>   Возможно. На мой взгляд -- варианты равноценны.

Я предложил на irc ещё один вариан - /var/www/webapps. Он смотрился ещё
логичнее.

Но, надо внимательно изучить дебиановское policy и определить моменты, когда
мы будем распиливать веб-приложения схожим образом. См
http://webapps-common.alioth.debian.org/draft/html/ch-issues.html

-- 
vvk

[devel] выбор имени общей группы для веб-серверов (was: apache2: умножение псевдопользователей без необходимости )

[Vladimir V. Kamarzin]

>>>>> On 04 Jun 2008 at 18:57 "AA" == Aleksey Avdeev writes:

>>>>Данная проблема мне известна. Планирую её решать через
>>>>введение группы, общей для web серверов.
>>>
>>>Спасибо, хорошо.  IMHO, Идеально будет не изобретать нового
>>>названия для такой группы и назвать ее apache ;)
>> 
>> 
>> Лучше уж тогда www-data, у нас не только апачи есть.

AA>   В webserver-common (см. письмо рядом) уже определены _webserver и
AA> webmaster... Менять?

Давайте всё-таки поточнее определим, как у нас будет называться общая группа,
в которую будут входить все вебсерверы.

Варианты:
_webserver - логично
_www-data - менее логично
apache - не логично

Я за _webserver.

-- 
vvk

Re: [devel] apache2: умножение псевдопользователей без необходимости

[Vladimir V. Kamarzin]

>>>>> On 14 May 2008 at 15:15 "AA" == Aleksey Avdeev writes:

>> Уважаемые коллеги,
>> ковырялся с prometeus и столкнулся с тем, то для httpd сервера
>> у нас 2 псевдопользователя: apache и apache2.
>> 
>> Это не есть хорошо, как показывает следующий пример:
>> Собрал ovz контейнер под repocop+prometeus c apache2,
>> но prometeus из коробки не заработал - папка была в группе apache.
>> поменял группу на apache2 вручную, но возникает вопрос:
>> зачем вообще нужна эта группа?

AA>   Так сложилось исторически.
AA>   Данная проблема мне известна. Планирую её решать через введение
AA> группы, общей для web серверов.

+1, надо бы побыстрее это сделать, тогда упаковка веб-приложений существенно
упроситится.

Ещё нужно сделать так чтобы apache-devel и apache2-devel не имели одинаковых
макросов. Это мешает собирать пакет одновременно под apache1 и apache2.

-- 
vvk

Re: [devel] apache2: умножение псевдопользователей без необходимости

[Michael Shigorin]

On Wed, May 14, 2008 at 06:29:36PM +0600, Vladimir V. Kamarzin wrote:
> Ещё нужно сделать так чтобы apache-devel и apache2-devel не
> имели одинаковых макросов.

Или уж имели идентичные значения таковых.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] webserver-common (was: apache2: умножение псевдопользователей без необходимости)

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1539 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>>On 14 May 2008 at 15:15 "AA" == Aleksey Avdeev writes:
> 
> 
>>>Уважаемые коллеги,
>>>ковырялся с prometeus и столкнулся с тем, то для httpd сервера
>>>у нас 2 псевдопользователя: apache и apache2.
>>>
>>>Это не есть хорошо, как показывает следующий пример:
>>>Собрал ovz контейнер под repocop+prometeus c apache2,
>>>но prometeus из коробки не заработал - папка была в группе apache.
>>>поменял группу на apache2 вручную, но возникает вопрос:
>>>зачем вообще нужна эта группа?
> 
> 
> AA>   Так сложилось исторически.
> AA>   Данная проблема мне известна. Планирую её решать через введение
> AA> группы, общей для web серверов.
> 
> +1, надо бы побыстрее это сделать, тогда упаковка веб-приложений существенно
> упроситится.

  В Daedalus`е лежит webserver-common-0.1-alt1 (см.
<http://git.altlinux.org/people/solo/packages/?p=webserver-common.git;a=commit;h=8be79188fe09db577b32db4da3a4871aa3439354>)
в нём определены 2 группы: _webserver и webmaster + общие каталоги (см.
<http://git.altlinux.org/people/solo/packages/?p=webserver-common.git;a=blob;f=webserver.rpm-macros;h=3506eb9fea68c365cc6ae441af4202b250ac43cd;hb=8be79188fe09db577b32db4da3a4871aa3439354>).
Т. к. #11784 закрыт -- могу запатчить апачи на использование этого пакета.

> 
> Ещё нужно сделать так чтобы apache-devel и apache2-devel не имели одинаковых
> макросов. Это мешает собирать пакет одновременно под apache1 и apache2.
> 

  Сделаю по ходу дела. Но не сразу.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 556 bytes --]

Re: [devel] I: webserver-common-0.2-alt1.src.rpm ушёл в Sisyphus (was: webserver-common )

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1577 bytes --]

Aleksey Avdeev пишет:
> Vladimir V. Kamarzin пишет:
>>>>>>> On 14 May 2008 at 15:15 "AA" == Aleksey Avdeev writes:
>>
>>>> Уважаемые коллеги,
>>>> ковырялся с prometeus и столкнулся с тем, то для httpd сервера
>>>> у нас 2 псевдопользователя: apache и apache2.
>>>>
>>>> Это не есть хорошо, как показывает следующий пример:
>>>> Собрал ovz контейнер под repocop+prometeus c apache2,
>>>> но prometeus из коробки не заработал - папка была в группе apache.
>>>> поменял группу на apache2 вручную, но возникает вопрос:
>>>> зачем вообще нужна эта группа?
>>
>> AA>   Так сложилось исторически.
>> AA>   Данная проблема мне известна. Планирую её решать через введение
>> AA> группы, общей для web серверов.
>>
>> +1, надо бы побыстрее это сделать, тогда упаковка веб-приложений существенно
>> упроситится.
> 
>   В Daedalus`е лежит webserver-common-0.1-alt1 (см.
> <http://git.altlinux.org/people/solo/packages/?p=webserver-common.git;a=commit;h=8be79188fe09db577b32db4da3a4871aa3439354>)
> в нём определены 2 группы: _webserver и webmaster + общие каталоги (см.
> <http://git.altlinux.org/people/solo/packages/?p=webserver-common.git;a=blob;f=webserver.rpm-macros;h=3506eb9fea68c365cc6ae441af4202b250ac43cd;hb=8be79188fe09db577b32db4da3a4871aa3439354>).
> Т. к. #11784 закрыт -- могу запатчить апачи на использование этого пакета.

  webserver-common-0.2-alt1.src.rpm (см.
<http://git.altlinux.org/people/solo/packages/?p=webserver-common.git;a=commit;h=1c8ba1374c2fd6eb53e57f774501b0288a8cf824>)
ушёл в Sisyphus.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] I: Унифицированные apache{,2} ушли в incoming/Daedalus (was: webserver-common-0.2-alt1.src.rpm ушёл в Sisyphus)

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 825 bytes --]

Aleksey Avdeev пишет:
> Aleksey Avdeev пишет:
> 
...
> 
> 
>   webserver-common-0.2-alt1.src.rpm (см.
> <http://git.altlinux.org/people/solo/packages/?p=webserver-common.git;a=commit;h=1c8ba1374c2fd6eb53e57f774501b0288a8cf824>)
> ушёл в Sisyphus.

  Унифицированные apache-1.3.41rusPL30.23-alt4.1.src.rpm (см.
<http://git.altlinux.org/people/solo/packages/?p=apache1.git;a=commit;h=b72bceb809d72f58d36ad25a8bab29996bfc34d8>)
и apache2-2.2.8-alt2.1.src.rpm (см.
<http://git.altlinux.org/people/solo/packages/?p=apache2.git;a=commit;h=c3ae3dc8229a1a840d4515f0048432fceae3d45d>)
ушли в incoming/Daedalus. Оба сервера используют общую структуру
каталогов (предоставляемую пакетом webserver-common).

2mike: Прошу NMU на apache

PS: Пересечения макросов ещё не ликвидированы.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 556 bytes --]

Re: [devel] I: Унифицированные apache{,2} ушли в incoming/Daedalus

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1463 bytes --]

Aleksey Avdeev пишет:
> Aleksey Avdeev пишет:
>> Aleksey Avdeev пишет:
>>
> ...
>>
>>   webserver-common-0.2-alt1.src.rpm (см.
>> <http://git.altlinux.org/people/solo/packages/?p=webserver-common.git;a=commit;h=1c8ba1374c2fd6eb53e57f774501b0288a8cf824>)
>> ушёл в Sisyphus.
> 
>   Унифицированные apache-1.3.41rusPL30.23-alt4.1.src.rpm (см.
> <http://git.altlinux.org/people/solo/packages/?p=apache1.git;a=commit;h=b72bceb809d72f58d36ad25a8bab29996bfc34d8>)
> и apache2-2.2.8-alt2.1.src.rpm (см.
> <http://git.altlinux.org/people/solo/packages/?p=apache2.git;a=commit;h=c3ae3dc8229a1a840d4515f0048432fceae3d45d>)
> ушли в incoming/Daedalus. Оба сервера используют общую структуру
> каталогов (предоставляемую пакетом webserver-common).

  Обновлённый apache2-2.2.8-alt3.src.rpm (см.
<http://git.altlinux.org/people/solo/packages/?p=apache2.git;a=commit;h=cdbcca27d87143815aed5a4029bf63faeaac344a>).
Основное отличие от предыдущей сборки -- наличие подпакетов
apache2*-compat, предназначенных для поддержки старой раскладки по
раталогам (/var/www/apache2/{html,cgi-bin,icons}, внимание: само
содержимое данных каталогов переехало в /var/www/{html,cgi-bin,icons}).

  Если до понедельника замечаний не будет -- все эти пакеты
(webserver-common-0.2-alt1.src.rpm, apache2-2.2.8-alt3.src.rpm и
apache-1.3.41rusPL30.23-alt4.1.src.rpm) уйдут в Сизиф.

> 
> PS: Пересечения макросов ещё не ликвидированы.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] Макросы для веб-серверов (was: apache2: умножение псевдопользователей без необходимости)

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 620 bytes --]

Vladimir V. Kamarzin пишет:
...
> 
> Ещё нужно сделать так чтобы apache-devel и apache2-devel не имели одинаковых
> макросов. Это мешает собирать пакет одновременно под apache1 и apache2.
> 

  Похоже стоит сделать небольшое полиси по веб-серверным макросам.

1. Макросы должны иметь вид <префикс>_<имя макроса>, где <префикс>
должен однозначно идентифицировать веб-сервер. Например:

а) webserver -- префикс макросов пакета webserver-common

б) apache

в) apache2

2. Желательно стремиться к максимальному пересечению пространств имён
макросов разных веб-серверов.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 556 bytes --]