nginx-0.1.17

[L0rda]

Здравствуйте, Andrew.

Вы писали 4 февраля 2005 г., 18:43:02:

> Hello L0rda,

L>> mod_php годится для одного сайта на сервере, в остальном - это
L>> сплошная дыра в безопасности, на shared хостинге это не приемлимо.
L>> Ваши php файлы прочитает кто угодно, если конечно не пользуетесь zend
L>> encoder'ом, список продолжить?;)
> в самом РНР есть некоторые средства  (safe_mode, openbase_dir)
> для ограничения такого доступа (я в курсе что не совершенны).
> Также есть пачи (для ядра и апача) позволяющие запускать скрипт с
> РНР от нужного юзера, правда это отрицательно сказывается на
> быстродействии, но я думаю этот вариант все равно быстрее будет чем cgi+_suexec.

этого не достаточно, если патчить апач, то апач надо запускать от рута
- это еще большая дыра в безопасности, а что можно пропатчить в ядре?

> кстати для запуска скрипта через fcgi с правами юзера как я
> понимаю все равно надо или каждый раз пускать fcgi или иметь куча
> запущенных
> fcgi серверов для каждого пользователя.
не надо

в апаче:
FastCgiSuexec On
FastCgiServer /www/fastphp/bin/phps

Содержание /www/fastphp/bin/phps :

#!/bin/sh
PHP_FCGI_CHILDREN=10
export PHP_FCGI_CHILDREN
exec /www/fastphp/bin/php

PHP_FCGI_CHILDREN кол-во чилдов, для работы.

у меня для каждого юзера свой конфиг, и если что-то нужно, можно
подправить для конкретного пользователя.

-- 
С уважением,
 L0rda                          mailto:l0rda at l0rda.biz