Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re[11]: nginx-0.1.17
Здравствуйте, Andrew.
Вы писали 4 февраля 2005 г., 18:43:02:
> Hello L0rda,
L>> mod_php годится для одного сайта на сервере, в остальном - это
L>> сплошная дыра в безопасности, на shared хостинге это не приемлимо.
L>> Ваши php файлы прочитает кто угодно, если конечно не пользуетесь zend
L>> encoder'ом, список продолжить?;)
> в самом РНР есть некоторые средства (safe_mode, openbase_dir)
> для ограничения такого доступа (я в курсе что не совершенны).
> Также есть пачи (для ядра и апача) позволяющие запускать скрипт с
> РНР от нужного юзера, правда это отрицательно сказывается на
> быстродействии, но я думаю этот вариант все равно быстрее будет чем
> cgi+_suexec.
этого не достаточно, если патчить апач, то апач надо запускать от рута
- это еще большая дыра в безопасности, а что можно пропатчить в ядре?
> кстати для запуска скрипта через fcgi с правами юзера как я
> понимаю все равно надо или каждый раз пускать fcgi или иметь куча
> запущенных
> fcgi серверов для каждого пользователя.
не надо
в апаче:
FastCgiSuexec On
FastCgiServer /www/fastphp/bin/phps
Содержание /www/fastphp/bin/phps :
#!/bin/sh
PHP_FCGI_CHILDREN=10
export PHP_FCGI_CHILDREN
exec /www/fastphp/bin/php
PHP_FCGI_CHILDREN кол-во чилдов, для работы.
у меня для каждого юзера свой конфиг, и если что-то нужно, можно
подправить для конкретного пользователя.
--
С уважением,
L0rda mailto:l0rda@xxxxxxxxx
|
