[sisyphus] php cgi

[sisyphus] php cgi

[Klimchev Konstantin]

Добрый день!

есть suphp (http://suphp.org) - интересная штучка для запуска php-скриптов с правами пользователя.

Но проблема в том, что для ее работы нужно при сборке php опции --enable-cgi и --disable-cli. 
Сравнивалось для php из мастера и самосборный php - на мастеровском не работает.

Собственно вопрос - нельзя ли на будущее предусмотреть при сборке php создание cgi-субпакета?


-- 
Best Regards, Konstantin Klimchev 
(mailto:koka@atvc.ru    jabber:koka@jabber.ru)
ATK-Internet ISP, Arkhangelsk, Russia

[sisyphus] Re: php cgi

[Alexey Gladkov]

On Tue, Dec 09, 2003 at 04:22:54PM +0300, Klimchev Konstantin wrote:
> Добрый день!
> 
> есть suphp (http://suphp.org) - интересная штучка для запуска php-скриптов с правами пользователя.
> 
> Но проблема в том, что для ее работы нужно при сборке php опции --enable-cgi и --disable-cli. 
> Сравнивалось для php из мастера и самосборный php - на мастеровском не работает.
> 
> Собственно вопрос - нельзя ли на будущее предусмотреть при сборке php создание cgi-субпакета?
> 

Он предусмотрен... сейчас mod_php и php собираются отдельно, хотя и из
одних исходников. Вы можете собрать cgi отдельно. Если будут проблемы
обращайтесь.

Но я бы вам не советовал собирать и использовать этот модуль. Он suid-ный
что мне лично не нравится ... 

---
Rgrds, legion

Re: [sisyphus] Re: php cgi

[Klimchev Konstantin]

On Tue, 9 Dec 2003 21:36:01 +0300
Alexey Gladkov <legion@altlinux.ru> wrote:

> On Tue, Dec 09, 2003 at 04:22:54PM +0300, Klimchev Konstantin wrote:
> > Добрый день!
> > 
> > есть suphp (http://suphp.org) - интересная штучка для запуска php-скриптов с правами пользователя.
> > 
> > Но проблема в том, что для ее работы нужно при сборке php опции --enable-cgi и --disable-cli. 
> > Сравнивалось для php из мастера и самосборный php - на мастеровском не работает.
> > 
> > Собственно вопрос - нельзя ли на будущее предусмотреть при сборке php создание cgi-субпакета?
> > 
> 
> Он предусмотрен... сейчас mod_php и php собираются отдельно, хотя и из
> одних исходников. 
В том и проблема, что нынешний php - cli'шный, а нужен - cgi'шный (по "php -v")
> Вы можете собрать cgi отдельно. 

Только один вопрос - можно его (cgi) дополнительным пакетом собрать (например, как пакет поддержки mysql) и будет у него возможность подцеплять собранные модули (тот же php-mysql). Если да - соберу без проблем. А за советами обращусь - можете не сомневаться :)

>Если будут проблемы обращайтесь.
> 
> Но я бы вам не советовал собирать и использовать этот модуль. Он suid-ный
> что мне лично не нравится ... 
Я согласен, что suid'ность - не хорошо, но оправданием может быть будет - он запускается только от пользователя, прописанносго при сборке и, как я понял, - запускает только явно прописанный php.
У меня проблема - запускать php-скрипты от пользователя (не представляю, как реализовать смену пользователя без suid'ности - малограмотный наверное). Может быть Вы посоветуете какой-либо иной вариант (про suexec - само-собой знаю). Корни всего этого идут от проблемы квотирования дискового пространства на хостинге.

> 
> ---
> Rgrds, legion
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@altlinux.ru
> http://altlinux.ru/mailman/listinfo/sisyphus
> 


-- 
Best Regards, Konstantin Klimchev 
(mailto:koka@atvc.ru    jabber:koka@jabber.ru)
ATK-Internet ISP, Arkhangelsk, Russia

Re: [sisyphus] Re: php cgi

[Прокопьев Евгений]

Alexey Gladkov пишет:

> On Tue, Dec 09, 2003 at 04:22:54PM +0300, Klimchev Konstantin wrote:
> 
>>Добрый день!
>>
>>есть suphp (http://suphp.org) - интересная штучка для запуска php-скриптов с правами пользователя.
>>
>>Но проблема в том, что для ее работы нужно при сборке php опции --enable-cgi и --disable-cli. 
>>Сравнивалось для php из мастера и самосборный php - на мастеровском не работает.
>>
>>Собственно вопрос - нельзя ли на будущее предусмотреть при сборке php создание cgi-субпакета?
>>
> 
> 
> Он предусмотрен... сейчас mod_php и php собираются отдельно, хотя и из
> одних исходников. Вы можете собрать cgi отдельно. Если будут проблемы
> обращайтесь.

у меня проблемы были, но я собирал cgi из мастеровского php. Комментирую 
--with-apxs и при сборке получаю:
...
/bin/sh libtool --silent --mode=link gcc -pipe -Wall -O2 
-fexpensive-optimizations -march=i686 -fPIC -prefer-non-pic -static 
-rpath /usr/lib    sapi/cgi/cgi_main.lo sapi/cgi/getopt.lo 
main/internal_functions.lo -lnsl -lexpat -lmm -lz -lcrypt -lresolv -lm 
-ldl -lnsl -lcrypt libphp4common.la -o libphp4.la
Installing PHP SAPI module
make: [install-sapi] Error 1 (ignored)
install: cannot stat `.libs/libphp4.so': No such file or directory
make: *** [install-sapi] Error 1
ошибка: Неверный код возврата из /home/john/tmp/rpm-tmp.50412 (%install)

Как я понял, надо комментировать/отключать сборку sapi, но где и как в 
спеке правильно это сделать - не понял.

Хотя бинарник php cgi у меня, конечно, собрался :)

> Но я бы вам не советовал собирать и использовать этот модуль. Он suid-ный
> что мне лично не нравится ... 

А чем это по функциональности и безопасности отличается от апачевского 
suexec?

Может ли этот suphp помочь решить следующую проблему - 
http://altlinux.ru/pipermail/community/2003-November/105073.html?

-- 
С уважением, Прокопьев Евгений

Re: [sisyphus] Re: php cgi

[Klimchev Konstantin]

On Wed, 10 Dec 2003 09:31:52 +0300
Прокопьев Евгений <john@rmts.donpac.ru> wrote:

> Alexey Gladkov пишет:
> 
> > On Tue, Dec 09, 2003 at 04:22:54PM +0300, Klimchev Konstantin wrote:
> > 
> >>Добрый день!
> >>
> >>есть suphp (http://suphp.org) - интересная штучка для запуска php-скриптов с правами пользователя.
> >>
> >>Но проблема в том, что для ее работы нужно при сборке php опции --enable-cgi и --disable-cli. 
> >>Сравнивалось для php из мастера и самосборный php - на мастеровском не работает.
> >>
> >>Собственно вопрос - нельзя ли на будущее предусмотреть при сборке php создание cgi-субпакета?
> >>
> > 
> > 
> > Он предусмотрен... сейчас mod_php и php собираются отдельно, хотя и из
> > одних исходников. Вы можете собрать cgi отдельно. Если будут проблемы
> > обращайтесь.
> 
> у меня проблемы были, но я собирал cgi из мастеровского php. Комментирую 
> --with-apxs и при сборке получаю:
> ...
> /bin/sh libtool --silent --mode=link gcc -pipe -Wall -O2 
> -fexpensive-optimizations -march=i686 -fPIC -prefer-non-pic -static 
> -rpath /usr/lib    sapi/cgi/cgi_main.lo sapi/cgi/getopt.lo 
> main/internal_functions.lo -lnsl -lexpat -lmm -lz -lcrypt -lresolv -lm 
> -ldl -lnsl -lcrypt libphp4common.la -o libphp4.la
> Installing PHP SAPI module
> make: [install-sapi] Error 1 (ignored)
> install: cannot stat `.libs/libphp4.so': No such file or directory
> make: *** [install-sapi] Error 1
> ошибка: Неверный код возврата из /home/john/tmp/rpm-tmp.50412 (%install)
> 
> Как я понял, надо комментировать/отключать сборку sapi, но где и как в 
> спеке правильно это сделать - не понял.
> 
> Хотя бинарник php cgi у меня, конечно, собрался :)
> 
> > Но я бы вам не советовал собирать и использовать этот модуль. Он suid-ный
> > что мне лично не нравится ... 
> 
> А чем это по функциональности и безопасности отличается от апачевского 
> suexec?
заточено под php - это про функциональность, работает апачевским модулем. Враппер одним словом над php. Проще в конфигурировании, хотя и suexec не сложно (делов то, прописать Action). Можно отключать для некоторых виртуальных хостов (например, если нужен mod_php) а для других оставить и вроде как подсовывать различные php.ini для различных виртуальных хостов.

Про безопасность - сложно сказать - сильнее или слабее suexec. Это скорее еще и к php в cgi-режиме. DocumentRoot и остальное в php-cgi-safemode отрабатывает. Он suid'ный, но по этому я уже сказал - повторяться не буду
> 
> Может ли этот suphp помочь решить следующую проблему - 
> http://altlinux.ru/pipermail/community/2003-November/105073.html?

>Если включить safe_mode=on в php.ini, то очевидно, что никто не помешает 
>пользователю выключить его, то же касается любых вариантов ограничить
>действия пользователя средствами php.

Я не большой специалист по php, подскажите - как это организовать, чтобы проверить. Я представляю как это сделать для mod_php (через переменные php_admin_flag и php_admin_value в описании виртуального хоста), но не представляю как для php-cgi

> 
> -- 
> С уважением, Прокопьев Евгений
> 
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@altlinux.ru
> http://altlinux.ru/mailman/listinfo/sisyphus
> 


-- 
Best Regards, Konstantin Klimchev 
(mailto:koka@atvc.ru    jabber:koka@jabber.ru)
ATK-Internet ISP, Arkhangelsk, Russia

Re: [sisyphus] Re: php cgi

[Прокопьев Евгений]

Klimchev Konstantin пишет:

>>Может ли этот suphp помочь решить следующую проблему - 
>>http://altlinux.ru/pipermail/community/2003-November/105073.html?
> 
> 
>>Если включить safe_mode=on в php.ini, то очевидно, что никто не помешает 
>>пользователю выключить его, то же касается любых вариантов ограничить
>>действия пользователя средствами php.
> 
> 
> Я не большой специалист по php, 

аналогично :(

> подскажите - как это организовать, чтобы проверить. 

Что именно проверить? Возможность доступа пользователей в домашние 
каталоги друг друга? Так это подразумевается правами доступа к их 
домашним каталогам, которые нельзя уменьшить как раз из-за suexec.

Или возможность включить safe_mode=on в php.ini? Так в случае cgi+suexec 
этот файл должен принадлежать пользователю.

> Я представляю как это сделать для mod_php 
> (через переменные php_admin_flag и php_admin_value в описании виртуального хоста), 
> но не представляю как для php-cgi

Первый раз узнал про их существование - глянул в доку, но до конца не понял.

А если я использую эти директивы, то значения, определенные ими, в 
php.ini игнорируются? В cgi эти директивы использовать нельзя?

-- 
С уважением, Прокопьев Евгений

Re: [sisyphus] Re: php cgi

[Klimchev Konstantin]

On Wed, 10 Dec 2003 12:01:59 +0300
Прокопьев Евгений <john@rmts.donpac.ru> wrote:

> Klimchev Konstantin пишет:
> 
> >>Может ли этот suphp помочь решить следующую проблему - 
> >>http://altlinux.ru/pipermail/community/2003-November/105073.html?
> > 
> > 
> >>Если включить safe_mode=on в php.ini, то очевидно, что никто не помешает 
> >>пользователю выключить его, то же касается любых вариантов ограничить
> >>действия пользователя средствами php.
> > 
> > 
> > Я не большой специалист по php, 
> 
> аналогично :(
> 
> > подскажите - как это организовать, чтобы проверить. 
> 
> Что именно проверить? Возможность доступа пользователей в домашние 
> каталоги друг друга? 

это очевидно. И правами на доступ, например user:apache (750) и , в разрезе php-cgi-safemode (при использовании suphp, при suexec наверное аналогично) параметром DocumentRoot в настройке виртуального хоста. По крайней мере, при разрешении выполнять программы из /bin явный вызов ls из php-скрипта показывал только то, что внутри DocumentRoot и ничего не показывал - что наруже.

>Так это подразумевается правами доступа к их 
> домашним каталогам, которые нельзя уменьшить как раз из-за suexec.
> 
> Или возможность включить safe_mode=on в php.ini? Так в случае cgi+suexec 
> этот файл должен принадлежать пользователю.
на этом и был вопрос по ссылке. Из-за проблемы, что php для каждого пользователя персональный и доступный для изменения (без уточнения какого изменения). Я правильно понял?

а в suphp используется один обший файл php, место расположение которого указывается при сборке (например, у меня /usr/local/bin/php). И в этом случае я не представляю, как можно изменить параметры php.ini

> 
> > Я представляю как это сделать для mod_php 
> > (через переменные php_admin_flag и php_admin_value в описании виртуального хоста), 
> > но не представляю как для php-cgi
> 
> Первый раз узнал про их существование - глянул в доку, но до конца не понял.
> 
> А если я использую эти директивы, то значения, определенные ими, в 
> php.ini игнорируются? 
я бы лучше сказал - переопределяются

> В cgi эти директивы использовать нельзя?
увы.. это к mod_php.


Но в моем случае mod_php не подходит. Там все скрипты от апача выполняются (что они там напишут - неотквотируешь).

> 
> -- 
> С уважением, Прокопьев Евгений
> 
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@altlinux.ru
> http://altlinux.ru/mailman/listinfo/sisyphus
> 


-- 
Best Regards, Konstantin Klimchev 
(mailto:koka@atvc.ru    jabber:koka@jabber.ru)
ATK-Internet ISP, Arkhangelsk, Russia

Re: [sisyphus] Re: php cgi

[Прокопьев Евгений]

Klimchev Konstantin пишет:

> php для каждого пользователя персональный и доступный для изменения (без уточнения какого изменения). Я правильно понял?

да

>>В cgi эти директивы использовать нельзя?
> 
> увы.. это к mod_php.
> 
> 
> Но в моем случае mod_php не подходит. Там все скрипты от апача выполняются (что они там напишут - неотквотируешь).

выходит, что suphp для нас - единственное решение (исключая chroot :) )

-- 
С уважением, Прокопьев Евгений

Re: [sisyphus] Re: php cgi

[Klimchev Konstantin]

On Wed, 10 Dec 2003 13:27:37 +0300
Прокопьев Евгений <john@rmts.donpac.ru> wrote:

> Klimchev Konstantin пишет:
> 
> > php для каждого пользователя персональный и доступный для изменения (без уточнения какого изменения). Я правильно понял?
> 
> да
> 
> >>В cgi эти директивы использовать нельзя?
> > 
> > увы.. это к mod_php.
> > 
> > 
> > Но в моем случае mod_php не подходит. Там все скрипты от апача выполняются (что они там напишут - неотквотируешь).
> 
> выходит, что suphp для нас - единственное решение (исключая chroot :) )

Ну chroot-неchroot, а из него, говорят, при некоторых условиях можно выйти. Так что - буду использовать suphp, тем более - вроде как разработчик активно в рассылке присутствует.
Хоть Alexey Gladkov и стращает suid'ностью, но из 2-х зол выбирают меньшее. :(

:)

> 
> -- 
> С уважением, Прокопьев Евгений
> 
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@altlinux.ru
> http://altlinux.ru/mailman/listinfo/sisyphus
> 


-- 
Best Regards, Konstantin Klimchev 
(mailto:koka@atvc.ru    jabber:koka@jabber.ru)
ATK-Internet ISP, Arkhangelsk, Russia

Re: [sisyphus] Re: php cgi

[Alexey Gladkov]

On Wed, Dec 10, 2003 at 09:03:16AM +0300, Klimchev Konstantin wrote:
> 
> Только один вопрос - можно его (cgi) дополнительным пакетом собрать (например, как пакет поддержки mysql) и будет у него возможность подцеплять собранные модули (тот же php-mysql). Если да - соберу без проблем. А за советами обращусь - можете не сомневаться :)
> 

Я же говорю, что можно ... ну или задумывалось, что можно :)
Новая схема сборка расширений и sapi для php поддерживает сборку всего
отдельно ... mod_php, php-cli собраны по этой схеме. Для того, чтобы
собрать другой sapi/extension посмотрите документацию идущую с php-common.

> Я согласен, что suid'ность - не хорошо, но оправданием может быть будет - он запускается только от пользователя, прописанносго при сборке и, как я понял, - запускает только явно прописанный php.
> У меня проблема - запускать php-скрипты от пользователя (не представляю, как реализовать смену пользователя без suid'ности - малограмотный наверное). Может быть Вы посоветуете какой-либо иной вариант (про suexec - само-собой знаю). Корни всего этого идут от проблемы квотирования дискового пространства на хостинге.
> 

---
Rgrds, legion