WebHostingTalk.ru  

Вернуться   WebHostingTalk.ru > Главные форумы > Технические аспекты и вопросы безопасности

Ответ
 
Опции темы
  #1  
Старый 15.11.2004, 00:07
monch monch вне форума
Студент
 
Регистрация: 22.08.2004
Сообщений: 10
По умолчанию

ОС Linux. Apache. Virtual hosts. Php as compiled-in module.
Как сделать, чтобы скрипты php запускались с правами пользователя, а не с правами апача?
Является ли единственным выходом использование php as cgi?
Ответить с цитированием
  #2  
Старый 15.11.2004, 09:58
highthost [support] highthost [support] вне форума
Аспирант
 
Регистрация: 13.10.2004
Сообщений: 88
Отправить сообщение для highthost [support] с помощью ICQ
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (monch @ 15 Ноября 2004, 00:07)]Как сделать, чтобы скрипты php запускались с правами пользователя, а не с правами апача?
Нужно запускать php не как мод апача. php suexec...
__________________
Web-site: http://highthost.ru/
E-mail: support@highthost.ru
Ответить с цитированием
  #3  
Старый 17.11.2004, 01:01
monch monch вне форума
Студент
 
Регистрация: 22.08.2004
Сообщений: 10
По умолчанию

Запускать php через suexec не очень эффективно. Ксати, проводил ли кто-нибудь полноценное сравнение производительности данных методов (при высокой нагрузке)?
Некоторые хостеры для повышения безопасности идут на запрет функций system, exec и т.п. Что является на мой взгляд плохим решением. Если пользователю нужно удалить кучу фалов или вложенные каталоги, то ему проще вызвать system("rm -rf some_dir&quot чем писать свою функцию.
Кто-то включает safe_mode и т.д...

И все-таки интересно, использует ли кто из вас php как модуль и при этом запускает php-скрипты справами пользователя виртуального хоста? Такая возможность есть. Например, модификация кода апача. Немного "колдовства" и все запросы каждого виртуального хоста будут обрабатываться с uid/gid пользователя-владельца. Но в этом варианте есть несколько "но".
Проводил ли кто такие работы и использует ли кто-нибудь php в виде модуля к апачу не имя проблемы "прав"?

p.s. Кстати, на мой взгляд valuehost так работает.
Ответить с цитированием
  #4  
Старый 26.11.2004, 18:34
Igoron Igoron вне форума
Дипломник
 
Регистрация: 09.08.2002
Сообщений: 21
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (monch @ 17 Ноября 2004, 01:01)]Такая возможность есть. Например, модификация кода апача. Немного "колдовства" и все запросы каждого виртуального хоста будут обрабатываться с uid/gid пользователя-владельца. Но в этом варианте есть несколько "но".
Проводил ли кто такие работы и использует ли кто-нибудь php в виде модуля к апачу не имя проблемы "прав"?
неможет работать модуль с uid отличным от самого процесса.
во второй апаче появилась такая штука как perchild
он плодит чайлдов и дает им соответствющие уиды,
а потом рулит запросы к нужному.
но.
1. все это еще достаточно в сыром виде уже несколько лет.
2. при достаточно большом количестве виртуальных хостов
вообще не эффективно.
3. есть такая замечательная технология fastcgi, рекомендую почитать про нее и использовать пхп как cgi.
решаться все ваши проблемы с уидами и с потерями производительности на запуск цги.
Ответить с цитированием
  #5  
Старый 27.11.2004, 01:21
eServer.ru eServer.ru вне форума
Младший научный сотрудник
 
Регистрация: 24.11.2003
Сообщений: 377
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (monch @ 17 Ноября 2004, 01:01)]И все-таки интересно, использует ли кто из вас php как модуль и при этом запускает php-скрипты справами пользователя виртуального хоста?
Мы используем.
Цитата:
Сообщение от [b
Цитата[/b] ]Такая возможность есть. Например, модификация кода апача. Немного "колдовства" и все запросы каждого виртуального хоста будут обрабатываться с uid/gid пользователя-владельца. Но в этом варианте есть несколько "но".
Правильно делается именно так + изменение ядра.

Цитата:
Сообщение от [b
Цитата[/b] ]p.s. Кстати, на мой взгляд valuehost так работает
Именно так и работает valuehost и 310
__________________
С уважением,
Хостинг-оператор eServer.ru
+7 (495) 22-33-474
Ответить с цитированием
  #6  
Старый 27.11.2004, 10:35
AndreyKa AndreyKa вне форума
Лаборант
 
Регистрация: 20.05.2004
Сообщений: 220
Отправить сообщение для AndreyKa с помощью ICQ
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] ]Если пользователю нужно удалить кучу фалов или вложенные каталоги, то ему проще вызвать system("rm -rf some_dir&quot чем писать свою функцию.
Interesno, zachem eto polzovotelu nado udalat kuchu failov ili dirs iz scripta?



__________________
dedic.ru - Новая фишка для владельцев выделенных серверов.
Ответить с цитированием
  #7  
Старый 27.11.2004, 23:47
monch monch вне форума
Студент
 
Регистрация: 22.08.2004
Сообщений: 10
По умолчанию

2 Igoron
Спасибо за советы.
В том то и дело, что может. Можно сделать setgid(), setuid() при обработке запроса. И child будет исполнятся с нужным uid/gid.

2 AndreyKa
Цитата:
Сообщение от [b
Цитата[/b] ]Interesno, zachem eto polzovotelu nado udalat kuchu failov ili dirs iz scripta?
Простой пример: клиент предоставляет услуги по организации фотоальбомов (а-ля photosight.ru, photofile.ru) или что-нибудь более серьезное. При закрытии аккаунта надо удалить все данные пользователя...

2 eServer.ru
Можно задать вам несколько вопросов относительно технических аспектов реализации этой идеи? Сейчас я анализирую код апача. У меня есть представления относительно реализации, но я не уверен в их корректности и безопасности. Можно ли купить вашу реализацию?
Ответить с цитированием
  #8  
Старый 28.11.2004, 10:52
AndreyKa AndreyKa вне форума
Лаборант
 
Регистрация: 20.05.2004
Сообщений: 220
Отправить сообщение для AndreyKa с помощью ICQ
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (monch @ 27 Ноября 2004, 23:47)]
Цитата:
Сообщение от [b
Цитата[/b] ]Простой пример: клиент предоставляет услуги по организации фотоальбомов (а-ля photosight.ru, photofile.ru) или что-нибудь более серьезное. При закрытии аккаунта надо удалить все данные пользователя...
Cherez cgi pust udalit
__________________
dedic.ru - Новая фишка для владельцев выделенных серверов.
Ответить с цитированием
  #9  
Старый 28.11.2004, 18:11
eServer.ru eServer.ru вне форума
Младший научный сотрудник
 
Регистрация: 24.11.2003
Сообщений: 377
По умолчанию

К сожалению, наша реализация данной идеи не доступна никому, кроме разработчиков системы. Она готовится для вополощения в конкретном продукте E-Neverland DataPalm.

Сейчас система реализована на FreeBSD 4.9 и 5.3 (разработка закончена на 90%).
__________________
С уважением,
Хостинг-оператор eServer.ru
+7 (495) 22-33-474
Ответить с цитированием
  #10  
Старый 30.11.2004, 10:42
KPOXA KPOXA вне форума
Лаборант
 
Регистрация: 20.08.2002
Сообщений: 299
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (eServer.ru @ 27 Ноября 2004, 01:21)]
Цитата:
Сообщение от [b
Цитата[/b] (monch @ 17 Ноября 2004, 01:01)]
p.s. Кстати, на мой взгляд valuehost так работает
Именно так и работает valuehost и 310
По словам Антона в валуе была реализована иная схема - запуск пхп с правами вебсервера, но переписан fopen wrapper и еще кое-чего так, чтобы все открываемые файлы и запускаемые процессы запускались и открывались с правами пользователя.
__________________
Хостинг - бизнес не для слабонервных.
Ответить с цитированием
Ответ


Ваши права в разделе
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Запуск DataRoot dataroot Пресс-релизы 0 28.06.2011 12:42
Запуск ЦОД компании e-Style ISP Marat Pulatov Пресс-релизы 0 29.07.2009 14:05
Запуск нового Дата-центр «e-Zone» eZone Пресс-релизы 0 24.06.2009 16:58
Запуск php от имени пользователя stanlee Технические аспекты и вопросы безопасности 7 18.04.2009 13:55
Модуль peruser: php и т.п. от имени пользователя KPOXA Технические аспекты и вопросы безопасности 5 25.11.2005 13:25


Часовой пояс GMT +3, время: 05:43.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot