2010/7/11 Denis Feklushkin
> Как добиться того чтобы скрипты, принадлежащие разным uid и gid, не мешали
> друг другу при запуске через fast cgi? Под мешанием понимаются вредоносные
> действия: запись/чтение чужих файлов, гроханье чужих скриптов и т.п.
>
> Языки: перл, пхп, ещё какие-нибудь... lisp, во!
>
> (городим виртуальный http-сервер)
>
>
>
Не то, чтобы совсем в тему, но опишу, как это сделано у меня:
1) Используется mpm itk, который позволяет каждый виртхост пускать под
отдельным юзером и группой.
2) Впереди стоит nginx.
3) Для того, чтобы nginx отдавал статику www-data включается в первичную
группу каждому юзеру
Профиты:
1) Апач не тратит жадные до памяти процессы для отдачи статики
2) Все апачевые модули отлично работаю без изменений - mod_php,
mod_perl/mod_python/passenger. Юзеру вообще не надо думать, о том, что он
работает в обстановке отличной от плохо настроеной cPanel на говнохостинге
за 3 бакса.
3) Можно каждому виртхосту ограничть количество паралельных запросов.
4) Nginx отдает статику + служит реверсным прокси позволяя собирать в одной
точке несколько бэкендов.
Минусы:
1) "Корневой" апач запущен под рутом. Если через реверсный nginx пролезет
некий эксплоит - получат рута сразу.
--
WBR, Bogdan B. Rudas
