Re: виртуальныйе http-сер веры: разграничение прав на скрипты
On Mon, 12 Jul 2010 14:51:48 +0300 Bogdan wrote: > 2010/7/12 Denis Feklushkin > > > On Mon, 12 Jul 2010 14:26:14 +0300 > > Bogdan wrote: > > > > > 2010/7/11 Denis Feklushkin > > > > > > > Как добиться того чтобы скрипты, принадлежащие разным uid и gid, не > > мешали > > > > друг другу при запуске через fast cgi? Под мешанием понимаются > > вредоносные > > > > действия: запись/чтение чужих файлов, гроханье чужих скриптов и т.п. > > > > > > > > Языки: перл, пхп, ещё какие-нибудь... lisp, во! > > > > > > > > (городим виртуальный http-сервер) > > > > > > > > > > > > > > > > > > Не то, чтобы совсем в тему, но опишу, как это сделано у меня: > > > > > > 1) Используется mpm itk, который позволяет каждый виртхост пускать под > > > отдельным юзером и группой. > > > 2) Впереди стоит nginx. > > > 3) Для того, чтобы nginx отдавал статику www-data включается в первичную > > > группу каждому юзеру > > > > > > Профиты: > > > 1) Апач не тратит жадные до памяти процессы для отдачи статики > > > 2) Все апачевые модули отлично работаю без изменений - mod_php, > > > mod_perl/mod_python/passenger. > > > > mod_perl это чтобы > > > > работало? такое вообще кто-то использует? > > > > > Нет. Не это. RT например использует. > какие отличия от запуска через CGI? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100712200310.3e898...@gmail.com
Re: виртуальныйе http-сер веры: разграничение прав на скрипты
On Mon, 12 Jul 2010 14:09:15 +0300 Peter Pentchev wrote: > On Mon, Jul 12, 2010 at 06:45:57PM +0800, Denis Feklushkin wrote: > > On Mon, 12 Jul 2010 18:23:46 +0800 > > Denis Feklushkin wrote: > > > > > On Mon, 12 Jul 2010 13:30:04 +0400 > > > Mikhail A Antonov wrote: > > > > > > > Denis Feklushkin пишет: > > > > > On Mon, 12 Jul 2010 12:52:03 +0400 > > > > > Mikhail A Antonov wrote: > > > > > > > > > > публичный хостинг с виртуальными веб-серверами > > > > Так я думаю, что мы этoго обсуждали год назад :) > > > > >>> да, кстати ) но с тех пор кое-что изменилось: апач не хочется ни в > > > > >>> каком виде > > > > >> А что из не апачей умеет .htaccess? > > > > > > > > > > а пофиг, его из условия уберём > > > > > > > > А вот не пофиг. Рано или поздно на публичном хостинге публичные > > > > пользователи захотят > > > > директорию запаролить, ЧПУ организовать, ещё что-нибудь. Тут-то и > > > > вспомнится про реврайты. > > > > > > а это через админку > > > > > > > > > > > > >> И чтобы без перезапуска и перечитывания > > > > >> конфигов по крону. > > > > > > > > > > по крону? не понял > > > > > > > > Угу. Если, например, к lighttpd или nginx прикручивать всякие реврайты > > > > инклудами, > > > > то без перечитывания конфигов вместе с этими инклудами, правила > > > > применяться не будут. > > > > > > через админку, после правки она скажет релоад nginx > > > > > > > > > > > > Запускайте один Apache и > > > > научите его запускать скрипты каждого юзера с собственным uid и > > > > gid. > > > > (да, нужно немножко поковылятся из сырцов mod_suexec и mod_fcgid, > > > > чтобы этoгo > > > > >^^ > > > > добытся, но не очень сложно; может быть, на этoт раз я и вправду > > > > опубликую > > > > патчов, которых для этoгo сделал) > > > > >>> Вроде это уже без патчей можно > > > > >> Можно. suexec уже есть. > > > > >> > > > > > > > > > > ? > > > > > > > > > Нечего там ковырять. У меня оно работает "из коробки" в lenny. > > > > > > > > > > Мне не понравилось что оно требует ручками прописывать SuexecUserGroup > > > user group в конфиге. Конечно, всё это не проблема но раз уж информация > > > есть в атрибутах файла то лучше бы оно её использовало > > > > > > в идеале бы найти простой CGI-враппер который проксирует запуск софтины > > > но предварительно делает suexec в юзера, которому принадлежит запускаемый > > > скрипт. и всё это подвесить к fcgiwrap > > > > а вот suexec это случайно не тот "враппер" что мне нужен? > > > > http://httpd.apache.org/docs/2.2/suexec.html#install > > > > Вроде как раз оно. Попробую, посмотрю на сколько это будет отличаться по > > скорости от запуска через апач > > Ему нужно подавать username и groupname как параметров командной строки; > оно потом только проверку делает, совпадают ли они с юзером/групой файла. там же есть режим userdir когда он ничего не проверяет? или я не так понял? If you have virtual hosts with a different UserDir for each, you will need to define them to all reside in one parent directory; then name that parent directory here. > > > потому что апач при такой же требуемой от него функциональности сожрет > > > мегабайтов 200 и будет тормозить ещё при этом > > Всего лучшего, > Петр > -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100712191807.27fd4...@gmail.com
Re: виртуальныйе http-сер веры: разграничение прав на скрипты
On Mon, 12 Jul 2010 18:23:46 +0800 Denis Feklushkin wrote: > On Mon, 12 Jul 2010 13:30:04 +0400 > Mikhail A Antonov wrote: > > > Denis Feklushkin пишет: > > > On Mon, 12 Jul 2010 12:52:03 +0400 > > > Mikhail A Antonov wrote: > > > > > > публичный хостинг с виртуальными веб-серверами > > Так я думаю, что мы этoго обсуждали год назад :) > > >>> да, кстати ) но с тех пор кое-что изменилось: апач не хочется ни в > > >>> каком виде > > >> А что из не апачей умеет .htaccess? > > > > > > а пофиг, его из условия уберём > > > > А вот не пофиг. Рано или поздно на публичном хостинге публичные > > пользователи захотят > > директорию запаролить, ЧПУ организовать, ещё что-нибудь. Тут-то и > > вспомнится про реврайты. > > а это через админку > > > > > > >> И чтобы без перезапуска и перечитывания > > >> конфигов по крону. > > > > > > по крону? не понял > > > > Угу. Если, например, к lighttpd или nginx прикручивать всякие реврайты > > инклудами, > > то без перечитывания конфигов вместе с этими инклудами, правила применяться > > не будут. > > через админку, после правки она скажет релоад nginx > > > > > > Запускайте один Apache и > > научите его запускать скрипты каждого юзера с собственным uid и gid. > > (да, нужно немножко поковылятся из сырцов mod_suexec и mod_fcgid, > > чтобы этoгo > > >^^ > > добытся, но не очень сложно; может быть, на этoт раз я и вправду > > опубликую > > патчов, которых для этoгo сделал) > > >>> Вроде это уже без патчей можно > > >> Можно. suexec уже есть. > > >> > > > > > > ? > > > > > Нечего там ковырять. У меня оно работает "из коробки" в lenny. > > > > Мне не понравилось что оно требует ручками прописывать SuexecUserGroup user > group в конфиге. Конечно, всё это не проблема но раз уж информация есть в > атрибутах файла то лучше бы оно её использовало > > в идеале бы найти простой CGI-враппер который проксирует запуск софтины но > предварительно делает suexec в юзера, которому принадлежит запускаемый > скрипт. и всё это подвесить к fcgiwrap а вот suexec это случайно не тот "враппер" что мне нужен? http://httpd.apache.org/docs/2.2/suexec.html#install Вроде как раз оно. Попробую, посмотрю на сколько это будет отличаться по скорости от запуска через апач > > потому что апач при такой же требуемой от него функциональности сожрет > мегабайтов 200 и будет тормозить ещё при этом -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100712184557.668a8...@gmail.com
Re: виртуальныйе http-сер веры: разграничение прав на скрипты
On Mon, 12 Jul 2010 13:30:04 +0400 Mikhail A Antonov wrote: > Denis Feklushkin пишет: > > On Mon, 12 Jul 2010 12:52:03 +0400 > > Mikhail A Antonov wrote: > > > > публичный хостинг с виртуальными веб-серверами > Так я думаю, что мы этoго обсуждали год назад :) > >>> да, кстати ) но с тех пор кое-что изменилось: апач не хочется ни в каком > >>> виде > >> А что из не апачей умеет .htaccess? > > > > а пофиг, его из условия уберём > > А вот не пофиг. Рано или поздно на публичном хостинге публичные пользователи > захотят > директорию запаролить, ЧПУ организовать, ещё что-нибудь. Тут-то и вспомнится > про реврайты. а это через админку > > > >> И чтобы без перезапуска и перечитывания > >> конфигов по крону. > > > > по крону? не понял > > Угу. Если, например, к lighttpd или nginx прикручивать всякие реврайты > инклудами, > то без перечитывания конфигов вместе с этими инклудами, правила применяться > не будут. через админку, после правки она скажет релоад nginx > > > Запускайте один Apache и > научите его запускать скрипты каждого юзера с собственным uid и gid. > (да, нужно немножко поковылятся из сырцов mod_suexec и mod_fcgid, чтобы > этoгo > >^^ > добытся, но не очень сложно; может быть, на этoт раз я и вправду > опубликую > патчов, которых для этoгo сделал) > >>> Вроде это уже без патчей можно > >> Можно. suexec уже есть. > >> > > > > ? > > > Нечего там ковырять. У меня оно работает "из коробки" в lenny. > Мне не понравилось что оно требует ручками прописывать SuexecUserGroup user group в конфиге. Конечно, всё это не проблема но раз уж информация есть в атрибутах файла то лучше бы оно её использовало в идеале бы найти простой CGI-враппер который проксирует запуск софтины но предварительно делает suexec в юзера, которому принадлежит запускаемый скрипт. и всё это подвесить к fcgiwrap потому что апач при такой же требуемой от него функциональности сожрет мегабайтов 200 и будет тормозить ещё при этом -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100712182346.59040...@gmail.com
Re: виртуальныйе http-сер веры: разграничение прав на скрипты
On Mon, 12 Jul 2010 12:52:03 +0400 Mikhail A Antonov wrote: > >>> публичный хостинг с виртуальными веб-серверами > >> Так я думаю, что мы этoго обсуждали год назад :) > > > > да, кстати ) но с тех пор кое-что изменилось: апач не хочется ни в каком > > виде > > А что из не апачей умеет .htaccess? а пофиг, его из условия уберём > И чтобы без перезапуска и перечитывания > конфигов по крону. по крону? не понял > > >> Запускайте один Apache и > >> научите его запускать скрипты каждого юзера с собственным uid и gid. > >> (да, нужно немножко поковылятся из сырцов mod_suexec и mod_fcgid, чтобы > >> этoгo ^^ > >> добытся, но не очень сложно; может быть, на этoт раз я и вправду опубликую > >> патчов, которых для этoгo сделал) > > > > Вроде это уже без патчей можно > > Можно. suexec уже есть. > ? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100712170016.56b5a...@gmail.com
Re: виртуальныйе http-сер веры: разграничение прав на скрипты
On Mon, 12 Jul 2010 09:24:26 +0300 Peter Pentchev wrote: > On Mon, Jul 12, 2010 at 08:36:17AM +0800, Denis Feklushkin wrote: > > On Mon, 12 Jul 2010 02:24:13 +0300 > > Peter Pentchev wrote: > > > > > On Sun, Jul 11, 2010 at 08:52:04PM +0800, Denis Feklushkin wrote: > > > > On Sun, 11 Jul 2010 09:10:44 +0300 > > > > Alexey Boyko wrote: > > > > > > > > > > Как добиться того чтобы скрипты, принадлежащие разным uid и gid, не > > > > > > мешали > > > > > > друг другу при запуске через fast cgi? Под мешанием понимаются > > > > > > вредоносные > > > > > > действия: запись/чтение чужих файлов, гроханье чужих скриптов и т.п. > > > > > > > > > > > > Языки: перл, пхп, ещё какие–нибудь... lisp, во! > > > > > > > > > > > > (городим виртуальный http-сервер) > > > > > > > > > > Запускать fast-cgi интерпретатор в нескольких копиях, для каждого > > > > > юзера > > > > > отдельно. > > > > > > > > > > > > > это так и делается? а если сайтов ~500 ? > > > > > > Да, этo тaк и дeлaeтcя. > > > > > > 500 сайтов, каждому из которых нужен доступ разных юзеров с разграничением > > > прав? Этo что, собственно, Вы и делаете? (да, конечно, я могу вообразить > > > несколько конфигураций, куда это нужно; мне будет интересно, кабы Вам этo > > > действительно нужно) > > > > публичный хостинг с виртуальными веб-серверами > > Так я думаю, что мы этoго обсуждали год назад :) да, кстати ) но с тех пор кое-что изменилось: апач не хочется ни в каком виде > Запускайте один Apache и > научите его запускать скрипты каждого юзера с собственным uid и gid. > (да, нужно немножко поковылятся из сырцов mod_suexec и mod_fcgid, чтобы этoгo > добытся, но не очень сложно; может быть, на этoт раз я и вправду опубликую > патчов, которых для этoгo сделал) Вроде это уже без патчей можно -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100712152606.4eaa1...@gmail.com
Re: виртуальныйе http-сер веры: разграничение прав на скрипты
On Mon, 12 Jul 2010 02:24:13 +0300 Peter Pentchev wrote: > On Sun, Jul 11, 2010 at 08:52:04PM +0800, Denis Feklushkin wrote: > > On Sun, 11 Jul 2010 09:10:44 +0300 > > Alexey Boyko wrote: > > > > > > Как добиться того чтобы скрипты, принадлежащие разным uid и gid, не > > > > мешали > > > > друг другу при запуске через fast cgi? Под мешанием понимаются > > > > вредоносные > > > > действия: запись/чтение чужих файлов, гроханье чужих скриптов и т.п. > > > > > > > > Языки: перл, пхп, ещё какие–нибудь... lisp, во! > > > > > > > > (городим виртуальный http-сервер) > > > > > > Запускать fast-cgi интерпретатор в нескольких копиях, для каждого юзера > > > отдельно. > > > > > > > это так и делается? а если сайтов ~500 ? > > Да, этo тaк и дeлaeтcя. > > 500 сайтов, каждому из которых нужен доступ разных юзеров с разграничением > прав? Этo что, собственно, Вы и делаете? (да, конечно, я могу вообразить > несколько конфигураций, куда это нужно; мне будет интересно, кабы Вам этo > действительно нужно) публичный хостинг с виртуальными веб-серверами -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100712083617.7463f...@gmail.com
Re: виртуальныйе http-сер веры: разграничение прав на скрипты
On Sun, 11 Jul 2010 09:10:44 +0300 Alexey Boyko wrote: > > Как добиться того чтобы скрипты, принадлежащие разным uid и gid, не мешали > > друг другу при запуске через fast cgi? Под мешанием понимаются вредоносные > > действия: запись/чтение чужих файлов, гроханье чужих скриптов и т.п. > > > > Языки: перл, пхп, ещё какие–нибудь... lisp, во! > > > > (городим виртуальный http-сервер) > > Запускать fast-cgi интерпретатор в нескольких копиях, для каждого юзера > отдельно. > это так и делается? а если сайтов ~500 ? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100711205204.6f7b3...@gmail.com