The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Apache-актуальный вариант конфигурации для безопас-го вирт-г..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы WEB технологии (Public)
Изначальное сообщение [Проследить за развитием треда]

"Apache-актуальный вариант конфигурации для безопас-го вирт-г..."  
Сообщение от Rayon email(ok) on 06-Дек-07, 10:34 
Здравствуйте.
Значит ситуация у меня такая..
Решил я организовать виртуальный хостинг: арендовал сервер(CentOS 5.1) и купил панель ISPmanager.
При создании аккаунтов в ISPmanager есть 2 варианта работы Apache:
1)php как модуль Apache
2)php как CGI
Проблема: При варианте 1 php скрипты имеют права Apache и через шелл свободно можно просматривать директории всего сервера. При варианте 2 некорректно работают php скрипты выдавая ошибки.
Мне требуется: корректная и безопасная и максимально быстрая работа php, CGI и SSI скриптов под различными UNIX пользователями с ограниченными правами доступа только к своим директориям для каждого аккаунта виртуального хостинга, естественно при safe_mod OFF, KeepAlive ON, MaxRequestsPerChild != 1.
Проштурмовав Google и данный форум я нашел несколько интересных статей разных годов:
1 http://dklab.ru/lib/dklab_apache/
2 http://www.opennet.dev/base/net/fastcgi_php.txt.html
3 кучу модулей http://www.opennet.dev/prog/sml/76.shtml среди которых актуальные для данной темы: suEXEC, perchild, peruser, mod_diffpriv, mod_suid и т.д...
4 http://www.opennet.dev/opennews/art.shtml?num=10329
Но так и не решил, что делать..

Подскажите, пожалуйста, народ: Какой вариант настройки Apache(учитывая вышесказанное) действительно актуален на данный момент?
Заранее спасибо за все ваши имхо.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Apache-актуальный вариант конфигурации для безопас-го вирт-г..."  
Сообщение от Rza email(??) on 06-Дек-07, 11:06 
>[оверквотинг удален]
>1 http://dklab.ru/lib/dklab_apache/
>2 http://www.opennet.dev/base/net/fastcgi_php.txt.html
>3 кучу модулей http://www.opennet.dev/prog/sml/76.shtml среди которых актуальные для данной темы: suEXEC, perchild,
>peruser, mod_diffpriv, mod_suid и т.д...
>4 http://www.opennet.dev/opennews/art.shtml?num=10329
>Но так и не решил, что делать..
>
>Подскажите, пожалуйста, народ: Какой вариант настройки Apache(учитывая вышесказанное) действительно актуален на данный
>момент?
>Заранее спасибо за все ваши имхо.

я пользуюсь suEXEC , каждый процесс апача порождается под своим юзером , и php как модуль

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Apache-актуальный вариант конфигурации для безопас-го вирт-г..."  
Сообщение от Rayon email(ok) on 06-Дек-07, 11:41 
>я пользуюсь suEXEC , каждый процесс апача порождается под своим юзером ,
>и php как модуль

С seEXEC понятно, а php как модуль - это небезопасно т.к. любой школьник заливший шелл получит такие права, что сможет натворить делов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Apache-актуальный вариант конфигурации для безопас-го вирт-г..."  
Сообщение от angra (ok) on 06-Дек-07, 11:14 
Вы не поверите, но при запуске через CGI скрипты тоже будут иметь пользователя apache и доступ ко всему к чему имеет доступ апач. В mod_php по крайней мере есть base_dir, хотя ее ограничение постоянно ломают, что делать пых одна большая дырка по своей сущности.
suexec+fcgi могут помочь, вот только нужна модификация скриптов.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Apache-актуальный вариант конфигурации для безопас-го вирт-г..."  
Сообщение от Rayon email(ok) on 06-Дек-07, 11:47 
>В mod_php по крайней мере есть base_dir, хотя ее ограничение постоянно ломают

Согласен.
>suexec+fcgi могут помочь, вот только нужна модификация скриптов.

Какая именно модификация и чем пользуешься сам?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Apache-актуальный вариант конфигурации для безопас-го вирт-г..."  
Сообщение от Rayon email(ok) on 06-Дек-07, 11:49 
И кто что думает насчет dklab Apache?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру