Запуск php-скриптов с правами пользователя

[monch]

ОС Linux. Apache. Virtual hosts. Php as compiled-in module.
Как сделать, чтобы скрипты php запускались с правами пользователя, а не с правами апача?
Является ли единственным выходом использование php as cgi?

[highthost [support]]

Цитата:

Сообщение от [b

Цитата[/b] (monch @ 15 Ноября 2004, 00:07)]Как сделать, чтобы скрипты php запускались с правами пользователя, а не с правами апача?

Нужно запускать php не как мод апача. php suexec...

[monch]

Запускать php через suexec не очень эффективно. Ксати, проводил ли кто-нибудь полноценное сравнение производительности данных методов (при высокой нагрузке)?
Некоторые хостеры для повышения безопасности идут на запрет функций system, exec и т.п. Что является на мой взгляд плохим решением. Если пользователю нужно удалить кучу фалов или вложенные каталоги, то ему проще вызвать system("rm -rf some_dir&quot чем писать свою функцию.
Кто-то включает safe_mode и т.д...

И все-таки интересно, использует ли кто из вас php как модуль и при этом запускает php-скрипты справами пользователя виртуального хоста? Такая возможность есть. Например, модификация кода апача. Немного "колдовства" и все запросы каждого виртуального хоста будут обрабатываться с uid/gid пользователя-владельца. Но в этом варианте есть несколько "но".
Проводил ли кто такие работы и использует ли кто-нибудь php в виде модуля к апачу не имя проблемы "прав"?

p.s. Кстати, на мой взгляд valuehost так работает.

[Igoron]

Цитата:

Сообщение от [b

Цитата[/b] (monch @ 17 Ноября 2004, 01:01)]Такая возможность есть. Например, модификация кода апача. Немного "колдовства" и все запросы каждого виртуального хоста будут обрабатываться с uid/gid пользователя-владельца. Но в этом варианте есть несколько "но".
Проводил ли кто такие работы и использует ли кто-нибудь php в виде модуля к апачу не имя проблемы "прав"?

неможет работать модуль с uid отличным от самого процесса.
во второй апаче появилась такая штука как perchild
он плодит чайлдов и дает им соответствющие уиды,
а потом рулит запросы к нужному.
но.
1. все это еще достаточно в сыром виде уже несколько лет.
2. при достаточно большом количестве виртуальных хостов
вообще не эффективно.
3. есть такая замечательная технология fastcgi, рекомендую почитать про нее и использовать пхп как cgi.
решаться все ваши проблемы с уидами и с потерями производительности на запуск цги.

[eServer.ru]

Цитата:

Сообщение от [b

Цитата[/b] (monch @ 17 Ноября 2004, 01:01)]И все-таки интересно, использует ли кто из вас php как модуль и при этом запускает php-скрипты справами пользователя виртуального хоста?

Мы используем.

Цитата:

Сообщение от [b

Цитата[/b] ]Такая возможность есть. Например, модификация кода апача. Немного "колдовства" и все запросы каждого виртуального хоста будут обрабатываться с uid/gid пользователя-владельца. Но в этом варианте есть несколько "но".

Правильно делается именно так + изменение ядра.

Цитата:

Сообщение от [b

Цитата[/b] ]p.s. Кстати, на мой взгляд valuehost так работает

Именно так и работает valuehost и 310

[AndreyKa]

Цитата:

Сообщение от [b

Цитата[/b] ]Если пользователю нужно удалить кучу фалов или вложенные каталоги, то ему проще вызвать system("rm -rf some_dir&quot чем писать свою функцию.

Interesno, zachem eto polzovotelu nado udalat kuchu failov ili dirs iz scripta?

[monch]

2 Igoron
Спасибо за советы.
В том то и дело, что может. Можно сделать setgid(), setuid() при обработке запроса. И child будет исполнятся с нужным uid/gid.

2 AndreyKa

Цитата:

Сообщение от [b

Цитата[/b] ]Interesno, zachem eto polzovotelu nado udalat kuchu failov ili dirs iz scripta?

Простой пример: клиент предоставляет услуги по организации фотоальбомов (а-ля photosight.ru, photofile.ru) или что-нибудь более серьезное. При закрытии аккаунта надо удалить все данные пользователя...

2 eServer.ru
Можно задать вам несколько вопросов относительно технических аспектов реализации этой идеи? Сейчас я анализирую код апача. У меня есть представления относительно реализации, но я не уверен в их корректности и безопасности. Можно ли купить вашу реализацию?

[AndreyKa]

Цитата:

Сообщение от [b

Цитата[/b] (monch @ 27 Ноября 2004, 23:47)]

Цитата:

Сообщение от [b

Цитата[/b] ]Простой пример: клиент предоставляет услуги по организации фотоальбомов (а-ля photosight.ru, photofile.ru) или что-нибудь более серьезное. При закрытии аккаунта надо удалить все данные пользователя...

Cherez cgi pust udalit

[eServer.ru]

К сожалению, наша реализация данной идеи не доступна никому, кроме разработчиков системы. Она готовится для вополощения в конкретном продукте E-Neverland DataPalm.

Сейчас система реализована на FreeBSD 4.9 и 5.3 (разработка закончена на 90%).

[KPOXA]

Цитата:

Сообщение от [b

Цитата[/b] (eServer.ru @ 27 Ноября 2004, 01:21)]

Цитата:

Именно так и работает valuehost и 310

По словам Антона в валуе была реализована иная схема - запуск пхп с правами вебсервера, но переписан fopen wrapper и еще кое-чего так, чтобы все открываемые файлы и запускаемые процессы запускались и открывались с правами пользователя.