2010/7/11 Denis Feklushkin <[email protected]> > Как добиться того чтобы скрипты, принадлежащие разным uid и gid, не мешали > друг другу при запуске через fast cgi? Под мешанием понимаются вредоносные > действия: запись/чтение чужих файлов, гроханье чужих скриптов и т.п. > > Языки: перл, пхп, ещё какие-нибудь... lisp, во! > > (городим виртуальный http-сервер) > > >
Не то, чтобы совсем в тему, но опишу, как это сделано у меня: 1) Используется mpm itk, который позволяет каждый виртхост пускать под отдельным юзером и группой. 2) Впереди стоит nginx. 3) Для того, чтобы nginx отдавал статику www-data включается в первичную группу каждому юзеру Профиты: 1) Апач не тратит жадные до памяти процессы для отдачи статики 2) Все апачевые модули отлично работаю без изменений - mod_php, mod_perl/mod_python/passenger. Юзеру вообще не надо думать, о том, что он работает в обстановке отличной от плохо настроеной cPanel на говнохостинге за 3 бакса. 3) Можно каждому виртхосту ограничть количество паралельных запросов. 4) Nginx отдает статику + служит реверсным прокси позволяя собирать в одной точке несколько бэкендов. Минусы: 1) "Корневой" апач запущен под рутом. Если через реверсный nginx пролезет некий эксплоит - получат рута сразу. -- WBR, Bogdan B. Rudas
