Господа, настраиваю тут окружение для многопользовательского web-хостинга и возник вот какой вопрос.
Стандартом де-факто для веб-хостинга сейчас явлется поддержка cgi через suexec и php через mod_php. Так как mod_php выполняется из-под www-data, то в нем реализованы механизмы для ограничения/разграничения пользователей: safe_mode и open_basedir При этом: Запуск php как cgi+suexec с точки зрения безопасности выглядит гораздо правильнее. (есть еще mod_suphp, который ровно это и делает) Запуск php как fast-cgi гораздо эффективнее по производительности чем cgi или mod_php. Казалось бы apache+suexec+fastcgi+php это нормальная связка. Но вот заморочка: всё в этой связке работает, кроме одного: suexec, который идёт в апаче проверяет, что скрипт (а в данном случае враппер /usr/bin/php5-cgi) должен лежать в docroot и принадлежать target_user. Народ в интернетах обходит это созданием для каждого пользователя враппера примерно следующего содержания: #!/bin/sh exec /usr/bin/php5-cgi Что как-то неаккуратно. Те, кого эта неаккуратность нервирует, пересобирают suexec с попиленной проверкой, чтобы он это разрешал. Вот и я склоняюсь к тому, чтобы настроить вышеуказанную связку с использованием патченного suexec. Вопрос: Это всё действительно правда, что единственный способ нормально настроить пых-пых хостинг - это использовать патченный suexec? Или я чего-то во всём этом не понимаю, и есть более другие правильные решения? -- Best regards, Alexander GQ Gerasiov Contacts: e-mail: g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110202152310.117ebb4a@desktopvm.lvknet